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Editorial 


Liebe Leserinnen und Leser, 


während fast alle über Syrien und die Flüchtlingskrise diskutieren, werden für die 
Infrastruktur und normativen Grundlagen unseres digitalisierten Informationsver- 
haltens Festlegungen vorgenommen. Dies beginnt mit der digitalen Erfassung der 
Flüchtlingsströme, von den Fingerabdrücken bis hin zur Speicherung von Religion 
und Ethnizität — für uns in Mitteleuropa ein Ding diskriminierungsträchtiger Unmög- 
lichkeit, für die konfliktreduzierende Verwaltung von Flucht aber (fast) eine Notwen- 
digkeit. Die DANA wird auf dieses Thema zurückkommen, zumal es Rückwirkun- 
gen darauf hat, wie wir generell mit Digitalem umgehen. 


Im Windschatten ist aber — fast — die Europäische Grundverordnung (EU-DSGVO) 
aus dem Blickfeld verschwunden. Der dazu im Trilog kurz vor Weihnachten 2015 
gefundene Kompromiss wird uns noch viele Jahre beschäftigen, die DANA 2/2016 
wird sich damit vertieft befassen. Wer hierzu Kluges, Neues und Hintergründiges zu 
bieten hat, auch gerne zu Einzelaspekten, ist herzlich eingeladen, bis zum Redakti- 
onsschluss dieses Heftes am 1. Mai Beiträge einzureichen. 


Während die EU-DSGVO in der Öffentlichkeit zumindest noch wahrgenommen 
wurde, blieb deren kleine Schwester, die Europäische Datenschutzrichtlinie für Jus- 
tiz und Polizei, völlig unter dem Radar der Wahrnehmung, selbst von Datenschütze- 
rinnen und Datenschützern. Dieser schwarze Fleck soll mit dem vorliegenden Heft 
etwas aufgehellt werden. Wie wichtig die Wahrung des Datenschutzes in Zeiten eines 
gesteigerten subjektiven Bedürfnisses nach ‚innerer Sicherheit“ ist, verschwindet 
insbesondere bei unseren Nachbarn in Europa und auf der anderen Seite des Atlan- 
tiks vom Schirm der Wahrnehmung. Deshalb müssen wir uns mit den Bestrebun- 
gen in diesen Ländern - u. a. hier in den DANA-Meldungen - befassen, sowie mit 
den Kooperationsinstrumenten. Zu diesen gehört nicht nur die Richtlinie für Justiz 
und Polizei, sondern auch das geplante Umbrella-Abkommen mit den USA. Peter 
Schaar gibt uns hierzu Einblicke, welche uns nicht nur optimistisch stimmen können. 
Umbrella ist die institutionalisierte andere Seite des neu erfundenen EU-US Privacy 
Shields, mit dem sich die US-Sicherheitsbehörden weiterhin einen Zugang zu euro- 
päischen Datenbeständen sichern wollen. 

Der Blick in die nicht immer rosige Realität darf uns nicht davon abhalten, über 
die Grundlagen unseres praktizierten Datenschutzes nachzudenken, da dies die Vor- 
aussetzung dafür ist, diesen zukunftsweisend weiterzuentwickeln. Jörg Pohle liefert 
hierzu unkonventionelle Gedanken, die nicht nur zum Nachdenken, sondern auch zur 
Diskussion einladen. 


Viel Spaß und viele Erkenntnisse beim Lesen wünscht und auf kluge Reaktionen 
hofft die gesamte DANA-Redaktion einschließlich 


Thilo Weichert 


Autorinnen und Autoren dieser Ausgabe: 


Jörg Pohle 


studierte Rechtswissenschaft, Politikwissenschaft und Informatik. Derzeit promoviert er an der 
Humboldt-Universität zu Berlin zur Geschichte und Theorie des Datenschutzes aus informatischer Sicht 
und Folgerungen für die Technikgestaltung und koordiniert am Alexander von Humboldt Institut für 
Internet und Gesellschaft ein interdisziplinäres Forschungsprojekt zu Fragen der globalen Aushandlung 
im Privacy- und Datenschutzbereich (http://www.hiig.de/project/privacy-governance/). 


Peter Schaar 


Ehemaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. psch@eaid-berlin.de 


Dr. Thilo Weichert 


Ehemaliger Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein, Kiel, 
Vorstandsmitgied in der DVD, weichert@datenschutzexpertise.de 


Peter Schaar 


Transatlantische Sicherheitskooperation und 
Datenschutz — Was bringt das „Umbrella 


Agreement’? 


Die Europäische Kommission ver- 
spricht, dass das im Herbst letzten Jah- 
res mit der US-Regierung ausgehandel- 
te Rahmenabkommen zum Datenschutz 
beim Datenaustausch für Zwecke der 
Strafverfolgung („Umbrella Agree- 
ment‘) einen angemessenen Schutz der 
aus der EU in die Vereinigten Staa- 
ten übermittelten personenbezogenen 
Daten garantiert. In dem folgenden 
Beitrag wird der Hintergrund dieses 
Abkommens erläutert und es wird der 
Frage nachgegangen, ob damit tat- 
sächlich das behauptete Schutzniveau 
erreicht wird. 


1. Intensivierter Datenaustausch 
nach dem 11. September 2001 


Die Zusammenarbeit zwischen eu- 
ropäischen und US-amerikanischen 
Sicherheitsbehörden hat eine lange Ge- 
schichte, die bis heute durch die Domi- 
nanz der US-Seite geprägt ist, wie etwa 
die Enthüllungen Edward Snowdens 
gezeigt haben. Nach den terroristischen 
Attentaten vom 11. September 2001 
strebten die Vereinigten Staaten — als 
Teil einer umfassenden, vom damaligen 
Präsidenten G.W. Bush proklamierten 
Strategie! — einen möglichst umfassen- 
den Datenaustausch mit den ausländi- 
schen Verbündeten an. Bereits im De- 
zember 2001 schloss die US-Regierung 
mit dem Europäischen Polizeiamt Eu- 
ropol ein Abkommen? zur intensivier- 
ten Kooperation und zum strategischen 
Informationsaustausch (Gefährdungs- 
hinweise, Tat-Begehungsmuster, Risi- 
kobewertung), das in einem 2002 ge- 
schlossenen Zusatzabkommen? auf die 
Übermittlung personenbezogener Daten 
(Namen, Adressen und Kriminalakten 
von Verdächtigen) ausgeweitet wurde. 

Von Interesse waren für die US-Be- 
hörden auch Informationen über Flug- 
passagiere (PNR-Daten) und über Fi- 


nanztransaktionen. Dem Verlangen nach 
einem umfassenden Datenzugriff wurde 
seitens Europas zunächst überwiegend 
ohne rechtliche Grundlage stattgegeben. 
So setzten die USA den Zugriff auf die 
PNR-Daten mit der Drohung durch, an- 
sonsten den widerspenstigen Airlines 
die Landegenehmigungen in den USA 
zu entziehen. Der Zugriff auf die Da- 
ten der weltweiten Finanztransaktionen, 
die durch das belgische Unternehmen 
SWIFT abgewickelt wurde, erfolgte 
zunächst heimlich. Bei Nichtbefolgung 
der entsprechenden Anordnungen des 
US-Finanzministerrums wurden dem 
Unternehmen — wie zuvor den Flugge- 


sellschaften — empfindliche Sanktionen 
angedroht. SWIFT kam diesen Forde- 
rungen nach, konnte aber gewisse Ein- 
schränkungen und Sicherheitsmaßnah- 
men aushandeln. Erst auf Grund von 
Presseberichten Mitte 2006 erfuhr die 
Öffentlichkeit von dieser Angelegen- 
heit. Im Zuge der folgenden Diskussion 
mussten die Europäische Zentralbank 
(EZB), einige nationale Zentralbanken 
(darunter auch die Deutsche Bundes- 
bank) und die im SWIFT-Vorstand re- 
präsentierten Bankenkonsortien einräu- 
men, dass sie von der Übermittlung der 
Bankdaten an US-Behörden wussten. 
Zu ihrer Verteidigung führten sie an, sie 
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hätten an der Rechtmäßigkeit der Zu- 
griffe nicht gezweifelt. 

Die robuste Praxis der US-Sicher- 
heitsbehörden und die Willfährigkeit 
der europäischen Seite trafen in der Öf- 
fentlichkeit und auch im Europäischen 
Parlament auf zunehmende Kritik, da 
offensichtlich war, dass die Datenüber- 
mittlungen vielfach dem Recht der Eu- 
ropäischen Union widersprachen. Insbe- 
sondere im Rat und in der Kommission 
setzte sich die Position durch, die zwei- 
felhaften Datenzugriffe zwar — auch vor 
dem Hintergrund der schweren terroris- 
tischen Anschläge in Madrid (2004) und 
London (2005) — weiterhin zuzulassen, 
sie aber zugleich durch bilaterale Ab- 
kommen zwischen der EU und den USA 
rechtlich abzusichern und einzuhegen. 
Zeitgleich verfolgten die EU-Gremien 
das Ziel, den Austausch von polizei- 
lichen und justiziellen Informationen 
zwischen den Behörden der Mitglied- 
staaten nach dem „Grundsatz der Ver- 
fügbarkeit“ zu erleichtern („Schwedi- 
sche Initiative‘“).* 


2. Bilaterale („Prüm-like‘“) Abkom- 
men der USA mit EU-Mitgliedstaaten 


Unabhängig von den Bemühungen 
zur Absicherung und Intensivierung des 
Datenaustauschs auf EU-Ebene dräng- 
te die US-Regierung auf vertragliche 
Festlegungen mit den einzelnen EU- 
Staaten, die den transatlantischen Da- 
tenfluss garantierten und ausweiteten. 
Bilaterale Vereinbarungen mit einzelnen 
Staaten waren aus US-Sicht auch des- 
halb vorteilhaft, weil deren individuelle 
Verhandlungsmacht schwächer einge- 
schätzt wurde als diejenige der EU- 
Institutionen. Andererseits boten solche 
Vereinbarungen den Regierungen der 
Mitgliedstaaten die Möglichkeit, sich 
als besonders zuverlässige Bündnispart- 
ner der USA im Krieg gegen den Ter- 
rorismus zu profilieren. Ein wirksames 
US-Argument gegenüber den neuen 
(osteuropäischen) EU-Mitgliedstaaten 
war zudem die Aussicht, deren Bürger 
nach Abschluss bilateraler Abkommen 
in das „Visa Waiver“-Programm einzu- 
beziehen, das eine visafreie Einreise in 
die Vereinigten Staaten gestattet. 

Eine Art Blaupause für die bilateralen 
Abkommen war das am 27. Mai 2005 
von den Regierungen von sieben EU- 
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Mitgliedstaaten im Luxemburger Städt- 
chen Prüm unterzeichnete Abkommen 
über die gegenseitige grenzüberschrei- 
tende polizeiliche Zusammenarbeit 
(„Prümer Vertrag“), das im Jahr 2008 in 
Unionsrecht überführt wurde.° Wesent- 
licher Regelungsgehalt des Prümer Ver- 
trags ist die grenzüberschreitende Zu- 
sammenarbeit bei der Bekämpfung des 
Terrorismus, der grenzüberschreitenden 
Kriminalität und der illegalen Migrati- 
on. Zu diesen Zwecken wurde der Aus- 
tausch auch personenbezogener Daten 
intensiviert, u. a. durch gegenseitigen 
Zugriff auf daktyloskopische und auf 
DNA-Indexdateien und durch Übermitt- 
lung personenbezogener Daten zur Ver- 
hinderung terroristischer Straftaten. Zur 
Wahrung der Bürgerrechte verpflichten 
sich die Vertragsparteien zur Einhal- 
tung eines hohen Datenschutzstandards. 
Dazu gehören ein einheitlicher Mindest- 
standard beim Datenschutz, die Zweck- 
bindung der übermittelten Daten und die 
Gewährleistung der Rechte der Betrof- 
fenen, u. a. der Rechte auf Auskunft und 
auf Schadensersatz. 

Am 1. Oktober 2008 unterzeichne- 
ten Regierungsvertreter der USA und 
Deutschlands ein bilaterales (,„Prüm- 
like“) Abkommen über die Vertiefung 
der Zusammenarbeit bei der Verhin- 
derung und Bekämpfung schwerwie- 
gender Kriminalität.” Beide Staaten 
räumten sich darin einen gegenseitigen 
Zugriff auf daktyloskopische Daten 
und DNA-Profile und auf entsprechen- 
de Fundstellendatensätze ein. Zudem 
wurden die Regelungen des Prümer 
Vertrages zum Austausch personenbe- 
zogener Daten zur Verhinderung von 
terroristischen Straftaten weitgehend 
übernommen. Auf eine Übertragung der 
als Bedingung für diese umfangreichen 
Zugriffs- und Übermittlungsbefugnisse 
im Prümer Vertrag geschaffenen Daten- 
schutzregelungen wurde jedoch weitge- 
hend verzichtet. Entsprechende Forde- 
rungen der Konferenz der Datenschutz- 
beauftragten des Bundes und der Länder 
blieben unberücksichtigt.” Insbesondere 
hatten die Datenschutzbeauftragten das 
Fehlen jeglicher Betroffenenrechte für 
die Verarbeitung übermittelter Daten 
in den USA moniert. In den USA wür- 
den Datenschutzrechte, wie sie in der 
Europäischen Union allen Menschen 
zustehen, ausschließlich Bürgerinnen 


und Bürgern der Vereinigten Staaten 
von Amerika und dort wohnenden Aus- 
länderinnen und Ausländern gewährt. 
Zudem fehle in den USA eine unabhän- 
gige Datenschutzkontrolle. Diese Män- 
gel seien deshalb besonders gravierend, 
weil in den USA polizeiliche Daten über 
Jahrzehnte gespeichert würden. Sie wür- 
den auch nicht durch das Vertrags- und 
Umsetzungsgesetz zu dem Regierungs- 
abkommen" ausgeglichen. 

Die Tatsache, dass die USA in den 
Folgejahren ähnliche Abkommen 
(„Prüm-like agreements‘“) ohne hinrei- 
chende Datenschutzgarantien mit wei- 
teren EU-Staaten abschlossen, führte zu 
Forderungen nach vertraglichen Rege- 
lungen zwischen der EU und den USA, 
welche die Mängel dieser Abkommen 
ausgleichen und einen angemessenen 
Datenschutz für die aus der EU über- 
mittelten Daten garantieren sollten. 
Zugleich wuchsen die Zweifel daran, 
ob die zwischen der EU und den USA 
geschlossenen Abkommen zum Daten- 
austausch über Finanztransaktionen'' 
und zur Übermittlung von Flugpassa- 
gierdaten'” zur Kriminalitäts- und Terro- 
rismusbekämpfung den Anforderungen 
der EU-Grundrechtecharta genügten, 
die durch den am 1. Dezember 2009 in 
Kraft getretenen Vertrag von Lissabon 
zum verbindlichen Recht in der gesam- 
ten EU geworden waren. 


3. Das Umbrella-Agreement 


Am 3. Dezember 2010 billigten die 
EU-Justizminister die Aufnahme von 
Gesprächen mit den USA über ein ent- 
sprechendes Rahmenabkommen zum 
Schutz personenbezogener Daten. Die 
EU-Kommission hatte den Entwurf eines 
entsprechenden Verhandlungsmandats 
am 26. Mai 2010 vorgelegt. Durch das 
Rahmenabkommen („Umbrella Agree- 
ment“) solle der Bürger in seinem Recht 
gestärkt werden, Auskunft über persönli- 
che Daten zu erhalten, die zum Zwecke 
der Verhinderung, Untersuchung, Auf- 
deckung oder Verfolgung von Straftaten 
einschließlich solcher mit terroristischem 
Hintergrund verarbeitet wurden, und die- 
se gegebenenfalls berichtigen oder lö- 
schen zu lassen. '? 

Die Verhandlungen zogen sich über 
Jahre hin und vielen Beobachtern drängte 
sich der Eindruck auf, dass die US-Seite 


an einem positiven Verhandlungsergebnis 
überhaupt nicht interessiert seien.'* Des- 
halb war die Meldung am 8. September 
2015 über einen erfolgreichen Abschluss 
der Verhandlungen mit den USA über ein 
Datenschutz-Rahmenabkommen durch- 
aus überraschend. Vermutlich haben die 
als Folge der Enthüllungen über die glo- 
balen Überwachungsaktivitäten der Nati- 
onal Security Agency (NSA) zunehmen- 
den Zweifel an der Vereinbarkeit der be- 
stehenden Abkommen und Verfahren zur 
Datenübermittlung an US-Behörden mit 
den EU-Grundrechten'° die Bereitschaft 
der US-Seite zu einem Entgegenkommen 
erhöht. 

Das Abkommen werde nach seinem 
Inkrafttreten „ein hohes Datenschutz- 
niveau für alle personenbezogenen 
Daten garantieren, die von den Straf- 
verfolgungsbehörden über den Atlantik 
gesandt werden. Insbesondere wird es 
garantieren, dass alle EU-Bürger das 
Recht haben, den Schutz ihrer Daten bei 
US-Gerichten durchzusetzen“, führte 
die zuständige EU-Justizkommissarin 
V£ra Jourovä aus.'‘ Voraussetzung für 
die Unterzeichnung der Vereinbarung 
sei jedoch, dass der US-Kongress die er- 
forderlichen Gesetzesänderungen (,Ju- 
dicial Redress Act“ — JRA) beschließe. 
Inzwischen hat das Repräsentantenhaus 
den vom republikanischen Kongress- 
Abgeordneten James Sensenbrenner jr. 
eingebrachten Gesetzentwurf gebilligt. 
Eine Verabschiedung durch den Senat 
steht noch aus.'” 

Obwohl die Kommission den verein- 
barten Text zunächst nicht veröffent- 
lichen wollte, ist dieser — auf welchen 
Wegen auch immer — ins Internet ge- 
langt'* und ermöglicht so die erforderli- 
che Detailprüfung. 


4. Unzureichender Schutz 


Die Durchsicht des Vertragstextes 
führt zu einem zwiespältigen Ergebnis. 
Positiv ist, dass das Abkommen in der 
Tat substantielle Zugeständnisse der 
US-Seite enthält, die von vielen Beob- 
achtern vor Jahresfrist kaum für mög- 
lich gehalten wurden. Zu nennen ist in 
erster Linie, dass EU-Bürger zukünftig 
vor US-Gerichten überhaupt einklagba- 
re Datenschutz-Rechte erhalten sollen. 
Gegen eine derartige Regelung hatte 
sich die US-Regierung während der sich 


über fünf Jahre hinziehenden Verhand- 
lungen lange gewehrt. Statt eines ein- 
klagbaren Rechtsanspruches sollten — so 
die ursprüngliche US-Position — EU- 
Bürgern Datenschutzrechte nur durch 
eine Verwaltungsvereinbarung einge- 
räumt werden. Dass eine — allein vom 
Goodwill der US-Administration abhän- 
gige — Zusicherung kein angemessenes 
Datenschutzniveau gewährleisten kann, 
wurde zu Recht von EU-Seite immer 
wieder betont. Insofern ist es positiv, 
dass die entsprechenden Rechtsansprü- 
che in einem formellen, durch den US- 
Kongress zu beschließenden Gesetz, ge- 
sichert werden sollen. 

Positiv ist auch, dass sich beide Seiten 
zu den Grundsätzen der Verhältnismä- 
Bigkeit, Erforderlichkeit und Zweckbin- 
dung beim Umgang mit personenbezo- 
genen Daten bekennen und dass sie sich 
verpflichten, die Verwendung und die 
Dauer der Speicherung entsprechend 
dieser Grundsätze durch Rechtsvor- 
schriften festzulegen. 

Allerdings kann von einer rechtlichen 
Gleichstellung der EU-Bürgerinnen und 
-Bürger mit US-Bürgern nicht die Rede 
sein, wie ein Blick in den noch nicht 
abschließend vom US-Kongress ge- 
billigten Entwurf des Judicial Redress 
Act (JRA)' zeigt. Dabei hätte sich dies 
sehr leicht in die bestehenden US-Da- 
tenschutzvorschriften einfügen lassen: 
So hätte es genügt, die Regelungen — 
etwa des US Privacy Act von 1974? —, 
die sich bisher auf US-Bürger und dort 
rechtmäßig ansässige Ausländer be- 
schränken, auf EU-Bürger zu erweitern. 
Entsprechende Forderungen hatten etwa 
die US-Bürgerrechtsorganisationen auf- 
gestellt.” Stattdessen enthalten der Ab- 
kommenstext und der JRA komplizierte 
Regelungen, welche im Ergebnis die 
Gleichstellung nicht gewährleisten. So 
müssen EU-Bürger ohne dauerhaften 
Aufenthaltsstatus in den USA — anders 
als US-Personen — zunächst versuchen, 
ihre Datenschutzrechte auf dem Verwal- 
tungsweg durchzusetzen. Erst wenn sie 
damit endgültig gescheitert sind, dür- 
fen sie ein US-Gericht anrufen. Zudem 
beschränken sich die in Art. 18 des Ab- 
kommens vorgesehenen Klagemöglich- 
keiten auf die ausdrücklich im Abkom- 
men genannten Rechte auf Auskunft und 
Korrektur der jeweiligen personenbezo- 
gener Daten. EU-Bürger haben — anders 


als US-Bürger — weiterhin keine darü- 
ber hinausgehenden Möglichkeiten, die 
Rechtmäßigkeit des gesamten Verfah- 
rens der Datenverarbeitung gerichtlich 
überprüfen zu lassen. 

Der JRA garantiert den EU-Bürgern 
zudem nicht einmal diese Datenschutz- 
rechte, sondern er ermächtigt den US- 
Generalstaatsanwalt (zugl. Justizminis- 
ter, PSch) lediglich dazu, im Einver- 
nehmen mit anderen Ministerien den 
Bürgern eines Staates oder eines Wirt- 
schaftsraums die beschriebenen Rechte 
einzuräumen. Der Justizminister kann 
die Entscheidungen jederzeit widerru- 
fen, etwa wenn der jeweilige Staat die 
Datenweitergabe an US-Behörden ver- 
weigert oder diese erschwert. 

Ein weiterer schwerwiegender Ein- 
wand gegen die Vereinbarung richtet 
sich dagegen, dass das Abkommen 
keine generelle Klausel zum Schutz 
der Menschenrechte enthält. Insofern 
ist nicht ausgeschlossen, dass die aus 
Europa stammenden Daten durch US- 
Behörden oder durch die Behörden 
von Drittstaaten für die Begehung von 
Menschenrechtsverletzungen verwendet 
oder weitergeleitet werden, einschließ- 
lich willkürlicher Verhaftungen, Folter 
oder extralegaler Tötungen”? 

Eine zusätzliche Beschränkung soll 
nicht unerwähnt bleiben: Während nach 
dem europäischen Datenschutzrecht 
und Art. 8 der EU-Grundrechtecharta 
sämtliche personenbezogenen Daten 
unabhängig von der Nationalität der Be- 
troffenen geschützt werden, sollen die 
begrenzten, durch das Abkommen und 
den JRA beschriebenen Datenschutz- 
rechte nur für EU-Bürger gelten, deren 
Daten von europäischen Behörden oder 
Unternehmen auf Basis von bi- oder 
multilateralen Vereinbarungen an US- 
Strafverfolgungsbehörden übermittelt 
wurden, nicht jedoch für Bürgerinnen 
und Bürgern aus Nicht-EU-Staaten, 
deren Daten ebenfalls aus der EU stam- 
men. 

Schließlich bleibt der Abkommenstext 
hinsichtlich der Datenschutzaufsicht hin- 
ter dem EU-Recht (insb. Art. 8 Abs. 3 der 
EU-Grundrechte-Charta) zurück: Es fehlt 
eine ausdrückliche Verpflichtung beider 
Vertragsparteien, für eine unabhängige 
Datenschutzaufsicht zu sorgen. Wäh- 
rend sich die Europäische Union in dem 
Abkommen dazu verpflichtet, dass die 
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unabhängigen Datenschutzbehörden die 
Rechtmäßigkeit der Datenverarbeitung 
überprüfen können, verweist das Abkom- 
men hinsichtlich der USA auf eine Viel- 
zahl, teils nicht unabhängiger Kontrollin- 
stitutionen, welche die Datenschutzkont- 
rolle „kumulativ“ ausüben sollen. 


5. Fazit 


Angesichts dieser Defizite des Rah- 
menabkommens und des zu seiner Um- 
setzung vorgesehenen US-Judicial Re- 
dress Act erscheint es sehr zweifelhaft, 
dass damit hinsichtlich der in die Verei- 
nigten Staaten für Zwecke der Strafver- 
folgung und der Abwehr des Terrorismus 
übermittelten personenbezogenen Daten 
ein Schutzniveau garantiert wird, das 
den Vorgaben der EU-Grundrechtecharta 
genügt. Die europäischen Gremien, die 
der Ratifizierung des Abkommens zu- 
stimmen müssen, allen voran das Euro- 
päische Parlament und die Parlamente 
der Mitgliedstaaten, sind aufgerufen, das 
Abkommen gründlich zu prüfen. Gege- 
benenfalls müssen sie darauf bestehen, 
dass nachverhandelt wird. 
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Die EU-Richtlinie für den Datenschutz 
bei Polizei und Justiz 


1 Einleitung 


Als am 15.12.2015 die Trilog-Ver- 
handlungen über die grundlegende Re- 
form des europäischen Datenschutz- 
rechts abgeschlossen waren, berichteten 
die Medien umfassend über die Euro- 
päische Datenschutzgrundverordnung 
(EU-DSGVO), also das künftig gültige 
allgemeine Datenschutzrecht in der Eu- 
ropäischen Union (EU). Praktisch keine 
Beachtung fand der kleine Bruder die- 
ser Regelung, über den sich Parlament, 
Rat und Kommission der EU zeitgleich 
einigten: die EU-Richtlinie für den Da- 
tenschutz bei Polizei und Justiz — ge- 
nauer die „Richtlinie des Europäischen 
Parlaments und des Rates zum Schutz 
natürlicher Personen bei der Verarbei- 
tung personenbezogener Daten durch 
die zuständigen Behörden zum Zweck 
der Verhütung, Aufdeckung, Untersu- 
chung oder Verfolgung von Straftaten 
oder der Strafvollstreckung sowie zum 
freien Datenverkehr“. Das Dokument 
war und ist im Netz von der EU derart 
versteckt abgelegt, dass der grüne Eu- 
ropaabgeordnete Jan-Phillipp Albrecht 
dieses leichter zugänglich veröffentli- 
chen musste: 


https://www,.janalbrecht.eu/fileadmin/ 
material/’Dokumente/DPD_consolidated_ 
LIBE-vote-2015-12-17.pdf 


Natürlich hat die EU-Richtlinie für 
Polizei und Justiz (im Folgenden zitiert 
als „Richtlinie‘“) nicht die gleiche Rele- 
vanz wie die EU-DSGVO, doch ist sie 
ein Meilenstein für den europäischen 
Datenschutz in diesem Sektor. Der Da- 
tenschutz in den hochsensiblen und 
eingriffsintensiven Bereichen Strafver- 
folgung und Gefahrenabwehr wird sich 
künftig europaweit hieran orientieren. 
Die Mitgliedstaaten werden in dieser 
Richtlinie zur Gesetzgebung über die 


polizeiliche und strafverfolgende Daten- 
verarbeitung verpflichtet. In Deutsch- 
land betrifft dies nicht nur den Bund, 
sondern insbesondere auch die für das 
allgemeine Polizeirecht zuständigen 
Bundesländer. Es gibt also genug Grün- 
de, sich die Richtlinie genau anzusehen. 


2 Geschichte 


Der Vorschlag der EU-Kommission 
vom 25.01.2012 für eine grundlegen- 
de Reform des europäischen Daten- 
schutzrechts umfasste neben dem Ent- 
wurf einer EU-DSGVO auch den einer 
Richtlinie für Polizei und Justiz, mit 
welcher der Rahmenbeschluss der EU- 
Kommission 2008/977/JI (ABl. L 350 
v. 30.12.2008, S. 60) ersetzt werden soll 
(2012/0010 (COD)). Die Datenverarbei- 
tung durch Polizei und Justiz gehörte 
früher der „dritten Säule“ der EU an, die 
bei weitem nicht so stark reguliert war 
wie die übrige staatliche Verwaltung 
und die Wirtschaft. Der bis heute gültige 
Rahmenbeschluss beschränkt sich aus- 
schließlich auf den grenzüberschreiten- 
den Datenverkehr und machte keinerlei 
Aussagen über die interne Organisa- 
tion der Datenverbreitung bei Polizei 
und Justiz. Dies lässt sich nicht mehr 
aufrecht halten. Mit den Verträgen von 
Lissabon wurde dieser Bereich „verge- 
meinschaftet“. In diesem Zusammen- 
hang wurde Ende 2009 auch die Euro- 
päische Grundrechtecharta (EUGRCh) 
in Kraft gesetzt, die in den Art. 7, 8 und 
47 Privatsphäre, Telekommunikations- 
geheimnis, Datenschutz und einen ef- 
fektiven Rechtsschutz zusichern. Diese 
Garantien gelten auch für die Bereiche 
der Strafverfolgung und der Gefahren- 
abwehr. 

Im sog. Stockholmer Programm (ABl. 
C 115 v. 04.05.2010, S. 1) hatte der Rat 
der EU die Kommission ersucht, die 
bestehenden Rechtsinstrumente zum 


Datenschutz zu bewerten und im Be- 
darfsfall Initiativen vorzulegen. Die EU- 
Kommission erstellte einen Aktionsplan 
zur Umsetzung des Stockholmer Pro- 
gramms (Com(2010) 171 endg.), in dem 
zwecks „konsequenter Anwendung des 
Grundrechts auf Datenschutz“ eine Stär- 
kung der „Position der EU bezüglich des 
Schutzes personenbezogener Daten bei 
allen EU-Maßnahmen, einschließlich 
jener in den Bereichen Strafverfolgung 
und Kriminalprävention sowie in unse- 
ren internationalen Beziehungen“ vor- 
gesehen ist. 

In Art. 16 Abs. 1 des Vertrags über 
die Arbeitsweise der Europäischen 
Union (AEUV) ist der Grundsatz ver- 
ankert, dass jede Person das Recht auf 
Schutz ihrer personenbezogenen Daten 
hat. Art. 16 Abs. 2 AEUV schafft eine 
besondere Rechtsgrundlage für den 
Erlass von Datenschutzvorschriften, 
die auch für die polizeiliche und justi- 
zielle Zusammenarbeit in Strafsachen 
gilt. Vom 04.11.2010 bis 15.01.2011 
erfolgte eine Konsultation zum Ge- 
samtkonzept der Kommission für den 
Datenschutz in der EU. Mit Entschlie- 
Bung vom 06.07.2011 nahm das EU- 
Parlament einen Bericht an, der das 
Kommissionskonzept für die Reform 
des Datenschutzes unterstützt. 

Ähnlich wie bei der EU-DSGVO stand 
auch bei der geplanten Regulierung 
im Bereich Polizei/Justiz das in Art. 5 
Abs. 3 EU-Vertrag (EUV) niedergeleg- 
te Subsidiaritätsprinzip zur Diskussion, 
wonach die EU nur tätig werden darf, 
sofern und soweit die angestrebten Zie- 
le von den Mitgliedstaaten allein nicht 
ausreichend verwirklicht werden kön- 
nen und wegen ihres Umfangs und ih- 
rer Wirkung auf Unionsebene besser zu 
verwirklichen sind. Der Deutsche Bun- 
desrat erhob Subsidiaritätsrügen gegen 
die EU-DSGVO und die Richtlinie. Bei- 
des wurde von der EU zurückgewiesen. 
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Da der Bedarf der Strafverfolgungsbe- 
hörden an einem schnellen Datenaus- 
tausch zur Verhütung und Bekämpfung 
von Kriminalität ein unionsweites ein- 
heitliches Datenschutzniveau erfordert, 
sei eine Regulierung nötig. Eine Richt- 
linie wurde als einzig verhältnismäßig 
angesehen, um den Mitgliedstaaten bei 
der Umsetzung der Grundsätze und der 
Vorschriften noch einen Spielraum zu 
belassen. Neben den schon erwähnten 
Grundrechten aus Art. 7, 8 und 47 EU- 
GRCh ist das Diskriminierungsverbot 
im Hinblick auf Rasse, ethnische Her- 
kunft, genetische Merkmale, Religion, 
Weltanschauung, politische oder sonsti- 
ge Anschauung, Behinderung und sexu- 
elle Ausrichtung (Art. 21 EUGRCh) von 
Relevanz. 

Die Konferenz der Datenschutzbe- 
auftragten des Bundes und der Länder 
gab am 11.06.2012 eine Stellungnah- 
me zum Kommissionsentwurf ab. Die 
Artikel-29-Arbeitsgruppe erstellte auch 
eine Stellungnahme mit Datum vom 
26.02.2013 mit den vier Schwerpunk- 
ten: Verarbeitung von Daten nichtver- 
dächtiger Personen, Betroffenenrechte, 
Datenschutzfolgenabschätzung und Be- 
fugnisse der Datenschutzaufsicht. 

Der Vorschlag der EU-Kommission 
wurde intensiv vom EU-Parlament be- 
handelt und am 12.03.2014 mit Ände- 
rungsvorschlägen mit großer Mehrheit 
angenommen. Berichterstatter war 
der griechische Abgeordnete Dimit- 
ros Droutsas. Die daraufhin erfolgen- 
de Behandlung im EU-Rat wurde am 
09.10.2015 abgeschlossen. 


3 Inhalt der Richtlinie 


Zum Zeitpunkt des Verfassens die- 
ses Artikels lag noch keine deutsch- 
sprachige Version der Richtlinie vor 
und auch noch kein Beschlusstext mit 
der endgültigen Durchnummerierung 
der Artikel und der erläuternden Er- 
wägungsgründe (EG). Die Gliederung 
der Richtlinie kann der Aufstellung am 
Ende dieses Beitrags entnommen wer- 
den. Dabei wird die Zählweise der Arti- 
kel sowohl im Rahmen der Entwurfsbe- 
handlung wie auch in der voraussicht- 
lichen Beschlussfassung dargestellt. 
Bei der folgenden Darstellung wird die 
erwartete künftige Artikel-Zählung zu 
Grunde gelegt. 
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Die Richtlinie gibt nur einen Rege- 
lungsrahmen vor, bei dem den EU-Mit- 
gliedstaaten weitgehende Spielräume 
gelassen werden. Es wird definitiv klar- 
gestellt, dass die nationalen Regelungen 
ein höheres Schutzniveau als von der 
Richtlinie vorgegeben gewähren dür- 
fen (Art. 1 Abs. 2). Die Vagheit vieler 
Regelungen führt dazu, dass es den Mit- 
gliedstaaten oft erlaubt wird, nationale 
Ausnahmen von Schutzvorschriften 
vorzusehen. 


3.1 Anwendungsbereich 


In Art. 1 wird der Gegenstand der Re- 
gelung dargestellt: Es geht um den unge- 
hinderten Austausch personenbezogener 
Daten zwischen Behörden der Polizei 
und der Justiz innerhalb der EU und den 
Grundrechtsschutz der davon betrof- 
fenen Personen, insbesondere den Da- 
tenschutz. Erfasst werden nur Verarbei- 
tungen, die folgende Zwecke verfolgen: 
„Verhütung, Ermittlung, Feststellung 
und Verfolgung von Straftaten oder die 
Durchführung von Kriminalstrafen, ein- 
schließlich der Schutz vor und die Ver- 
hütung von Gefahren für die öffentliche 
Sicherheit“ (Art. 1 Abs. 1). Werden von 
privaten oder öffentlichen Stellen andere 
Zwecke verfolgt, so ist die EU-DSGVO 
anzuwenden (Art. 9 Abs. 2). Was unter 
öffentlicher Sicherheit verstanden wird, 
ist nicht eindeutig definiert. Erfasst sein 
sollen auch Zwangsmaßnahmen der Po- 
lizei bei Demonstrationen, Sportereig- 
nissen und Unruhen (EG 113/12). Kei- 
ne Anwendung findet die Richtlinie für 
EU-Institutionen sowie für Vorgänge, 
die nicht unter EU-Recht fallen (Art. 2 
Abs. 3). Nicht erfasst sein sollen zudem 
Maßnahmen für die nationale Sicherheit 
(EG 116/14). Dies bedeutet, dass neben 
dem Verteidigungsbereich in Deutsch- 
land wohl auch die Inlands- und Aus- 
landsgeheimdienste (VerfSchh MAD, 
BND) ausgenommen sein sollen. Dass 
und weshalb Eurojust und Europol aus- 
genommen werden, ist nicht erkennbar. 

Schon aus der gemeinsamen Behand- 
lung von EU-DSGVO und der Richtli- 
nie zeigt sich, dass beide Rechtsmate- 
rien eng aufeinander abgestimmt sind 
und sich gegenseitig ergänzen sollen. 
Dies führt zu Parallelen bei den Be- 
griffsbestimmungen (Art. 3), bei der 
Verantwortlichkeit (Art. 19 ff.), bei den 


internen Datenschutzbeauftragten (Art. 
32-34) oder bei den Aufsichtsbehörden 
(Art. 41 ff.). Die Richtlinie ist nicht nur 
bei Polizei und Staatsanwaltschaften 
anwendbar, sondern auch auf Gerichte, 
außer wenn diese in ihrer unabhängigen 
gerichtlichen Funktion tätig sind. Nati- 
onal darf geregelt werden, dass selbst 
unabhängige _Strafverfolgungsbehör- 
den ausgenommen werden können (EG 
55/80). Dies gilt aber nicht für Deutsch- 
land, da hier, entgegen mancher staats- 
anwaltlichen Behauptung, keine solche 
quasi-richterliche Unabhängigkeit be- 
steht. Erfasst wird nicht nur die automa- 
tisierte, sondern auch die Datenverarbei- 
tung in analogen Dateien (Art. 2 Abs. 2). 


3.2 Zulässigkeit der Datenverarbeitung 


In Art. 4 Abs. 1 werden die Grund- 
prinzipien der Datenverarbeitung bzw. 
des Datenschutzes dargestellt, u. a. die 
Zweckbindung, die Verhältnismäßigkeit 
(„angemessen“, „nicht exzessiv“) und 
die Erforderlichkeit. Die Zweckände- 
rung wird unter einen nicht erkennbar 
eingeschränkten nationalen Gesetzes- 
vorbehalt gestellt (Art. 4 Abs. 2). 

Die Richtlinie enthält keine eigen- 
ständigen Erlaubnisnormen, sondern 
macht nur Vorgaben hierfür, die in den 
Mitgliedstaaten erlassen werden. Da 
in Deutschland insofern ein umfassen- 
des Regelungsregime besteht, das in 
den wesentlichen Aspekten inhaltlich 
der Richtlinie entspricht, kann der be- 
stehende Rahmen beibehalten werden. 
Die Richtlinie differenziert auch nicht 
danach, ob und wie Daten verdeckt er- 
hoben werden. Hinsichtlich sensibler 
Daten werden eine strenge Erforder- 
lichkeitsprüfung und zusätzliche Si- 
cherungen gefordert (Art. 8, 9 Abs. 2 
u. 3). Detailliertere Anforderungen an 
die nationalen Normen oder (Beweis-) 
Verwertungsverbote sind nicht vorgese- 
hen. Ebenso fehlen, wie vorgeschlagen 
wurde, Aussagen über auf Einwilligung 
basierende Datenverarbeitungen. 

Angesichts der Weite der vorgege- 
benen materiellen Regelungen wird es 
jetzt darauf ankommen, welche Grenzen 
der Europäische Gerichtshof (EuGH) 
angesichts Art 8 EUGRCH, der als Maß- 
stab für die Auslegung der gesamten 
Richtlinie herangezogen werden kann, 
setzt (s. u. 5). 


Anders als zunächst im Kommissions- 
vorschlag ist in Art. 5 vorgesehen, dass 
im nationalen Recht Lösch- und Prüf- 
fristen und entsprechende Verfahren ge- 
regelt werden müssen. Art. 6 sieht vor, 
dass hinsichtlich der Rollen der Betrof- 
fenen bei der Verarbeitung differenziert 
wird, und zwar ob diese erfasst sind als 
Verdächtige, Verurteilte, Opfer, Zeugen, 
Hinweisgeber. Eine weitere Differenzie- 
rung ist nach der sachlichen Richtigkeit 
und Zuverlässigkeit, also dem Grad der 
Wahrscheinlichkeit, vorgesehen. Er- 
weist sich die Unrichtigkeit oder Un- 
vollständigkeit, so müssen entsprechen- 
de Korrekturen und bei Übermittlungen 
Benachrichtigungen vorgenommen wer- 
den (Art. 7). 


3.3 Betroffenenrechte 


Zwar sind in Art. 13 umfassende In- 
formationspflichten gegenüber den 
Betroffenen hinsichtlich verarbeitende 
Stelle, Zweck, Beschwerde- und Aus- 
kunftsrecht, evtl. Rechtsgrundlage, 
Speicherfrist, Empfänger und verdeckte 
Erhebung vorgesehen, doch können die- 
se Ansprüche durch nationale Vorschrif- 
ten wieder ausgehebelt werden, wenn 
dies in irgendeiner Weise die Aufgaben- 
wahrnehmung oder die Rechte Dritter 
gefährdet. Besonders problematisch ist, 
dass es möglich sein soll, ganze Kate- 
gorien von Daten von der Informations- 
pflicht auszunehmen (Art. 13 Abs. 4, s. u. 
4.1). Entsprechend wird das in Art. 14 
vorgesehene Auskunftsrecht in Art. 15 
eingeschränkt. Im Verweigerungsfall 
ist darüber zu informieren, dass die Da- 
tenschutzaufsicht eingeschaltet werden 
kann (Art. 15 Abs. 3 S. 3). Die Daten- 
schutzaufsicht kann auch dafür vorge- 
sehen werden, die Betroffenenrechte 
wahrzunehmen (Art. 17). 


3.4 Verantwortlichkeit 


In den Art. 18 ff. sind Regelungen 
zur Verantwortlichkeit, zur gemeinsa- 
men Verantwortlichkeit (Art. 21) und 
zur Auftragsdatenverarbeitung (Art. 22) 
enthalten. Diese entsprechen den beste- 
henden sowie den in der EU-DSGVO 
geplanten Regelungen. In Art. 20 wird 
explizit „Data protection by Design 
and by Default“ geregelt. Pseudonymi- 
sierung und Datensparsamkeit werden 
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erwähnt. Danach wird es verpflichtend, 
den Zugriff auf Daten zweckspezifisch 
und aufgabenbezogen zu begrenzen. 
Doch diese Vorgabe wird dadurch re- 
lativiert, dass als Konkretisierung nur 
klargestellt wird, dass Daten grds. nicht 
einer unbegrenzten Personengruppe be- 
reitgestellt werden dürfen (Art. 20 Abs. 2 
S.2). 

Alle Datenverarbeitungsprozesse sind 
gemäß Art. 24 zu dokumentieren bzgl. 
Verantwortlichkeit, Datenschutzbeauf- 
tragtem, Zweck, Empfängerkategori- 
en, Profiling, Drittstaatenübermittlung, 
Rechtsgrund, Auftragsdatenverarbeitun- 
gen, evtl. Löschfristen und technisch-or- 
ganisatorischen Sicherungsmaßnahmen. 
Zudem ist in Art. 25 eine Protokollie- 
rungspflicht bei folgenden Vorgängen 
vorgesehen: Erhebung, Veränderung, 
Abfrage, Weitergabe, Kombination, 
Löschung; bei Abfragen und Weiterlei- 
tungen sind Zweck und Zeitpunkt und, 
soweit möglich, die handelnde Person 
aufzuzeichnen. Dokumentationen sind 
der Datenschutzaufsicht zur Verfügung 
zu stellen, Protokolle auf Anfrage. Es 
besteht eine generelle Pflicht zur Koope- 
ration mit der Aufsicht (Art. 26). 

Beim Einsatz neuer Technologien und 
im Hinblick auf besondere Grundrechts- 
gefahren ist ein „Data Protection Impact 
Assessment“, also eine Datenschutzfol- 
genabschätzung, vorgesehen (Art. 27). 
Ergibt sich hierbei ein hohes Risiko, so 
muss die Datenschutzaufsicht eingebun- 
den werden. Innerhalb von 6 Wochen 
nach der Einbeziehung kann, soweit das 
nationale Recht dies vorsieht, die Auf- 
sicht Warn- und Untersagungsfunktio- 
nen wahrnehmen (Art. 28 Abs. 5). Eine 
Pflicht zur Beteiligung besteht zudem 
bei der Vorbereitung von regulativen 
und gesetzgeberischen Maßnahmen 
(Art. 28 Abs. 2). 

Anders als in der EU-DSGVO wer- 
den in Art. 29 die Datensicherheits- 
maßnahmen als Katalog entsprechend 
der Anlage zu $ 9 BDSG aufgeführt. 
Die modernen Datenschutz-Schutzziele 
werden nur ansatzweise oder überhaupt 
nicht erwähnt. In den Art. 30, 31 ist die 
unverzügliche „Meldung einer Verlet- 
zung“, also eine Breach Notification ge- 
genüber der Datenschutzaufsicht und in 
speziellen engen Fällen gegenüber den 
Betroffenen vorgesehen. Die Art. 32 bis 
34 enthalten verpflichtende Regelungen 


zur Ernennung, zur Stellung und zu den 
Aufgaben eines (internen) Datenschutz- 
beauftragten. 


3.5 Datenübermittlung ins Drittausland 


In den Art. 35-39 sind die materiellen 
Anforderungen an Datenübermittlungen 
in Drittländer geregelt. Grundsätzlich 
müssen folgende Voraussetzungen vor- 
liegen: Erforderlichkeit, Zuständigkeit 
des Empfängers, Datenfreigabe durch 
Herkunftsland bei erhaltenen Daten und 
angemessenes Datenschutzniveau. 

Fehlt es an einem zuvor festgestellten 
angemessenen Datenschutz beim Emp- 
fänger, kann dennoch eine Übermittlung 
erfolgen, wenn dies unter Berücksich- 
tigung aller Umstände vom Ursprungs- 
land zugelassen wird. Eine weitere 
Ausnahme von Erfordernis eines hinrei- 
chenden Datenschutzstandards besteht 
bei Erforderlichkeit für die Verhinde- 
rung einer unmittelbaren ernsthaften 
Gefahr für die öffentliche Sicherheit, 
wenn die Zustimmung des Ursprungs- 
lands nicht erlangt werden könnte. Die- 
ses muss nachträglich informiert werden 
(Art. 35 Abs. 2, 3). 

Nicht erwähnt wird, aber selbstver- 
ständlich sein sollte, dass Übermitt- 
lungen innerhalb der EU wie auch in 
Drittländer den nationalen Übermitt- 
lungsregelungen, wie sie auch zwischen 
Behörden im eigenen Land gelten, ent- 
sprechen müssen. Keine weitergehenden 
Einschränkungen bestehen, wenn die 
EU-Kommission festgestellt hat, dass im 
Empfängerland ein angemessenes Daten- 
schutzniveau besteht. Bei der Kommissi- 
onsentscheidung sind folgende Aspekte 
relevant: rechtsstaatliches Verfahren, 
eine unabhängige Datenschutzkontroll- 
instanz und internationale Datenschutz- 
verpflichtungen. Die Kommission muss 
laufend überprüfen, ob die Voraussetzun- 
gen weiterhin vorliegen. Ist dies nicht der 
Fall, ist die Angemessenheitsfeststellung 
zurückzunehmen bzw. zu ändern und es 
sind Verhandlungen mit dem Empfänger- 
land aufzunehmen. 

Fehlt es an einer allgemeinen Ange- 
messenheitsfeststellung, so kann die Da- 
tenübermittlung mit spezifischen Siche- 
rungen im Einzelfall legitimiert werden 
(Art. 37). Besteht insofern kein rechtlich 
bindendes Instrument, so muss die Da- 
tenschutzaufsicht informiert werden. 
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Schließlich dürfen Übermittlungen 
ohne jede Datenschutzsicherung erfol- 
gen, wenn dies erforderlich ist für den 
Schutz eines lebenswichtigen Interes- 
ses des Betroffenen oder einer anderen 
Person, bei Vorliegen einer nationalen 
Regelung zum Schutz legitimer Betrof- 
feneninteressen, zur Verhütung einer 
unmittelbaren ernsthaften Gefahr für die 
öffentliche Sicherheit entweder des Mit- 
gliedstaats oder eines anderen Landes, 
in einzelnen Fällen für Zwecke nach 
Art. 1 Abs. 1 (Generalklausel) oder im 
Einzelfall zur Ausübung und Durchset- 
zung rechtlicher Interessen nach Art. 1 
Abs. 1 (Art. 38 Abs. 1). Generell soll 
gelten, dass eine Übermittlung unzuläs- 
sig ist, wenn die Behörde feststellt, dass 
die schutzwürdigen Betroffeneninteres- 
sen gegenüber dem öffentlichen Interes- 
se an der Datenübermittlung überwiegen 
(Art. 38 Abs. 2). Beachtet werden soll, 
dass das Daten nicht zur Begründung, 
Verwendung oder Umsetzung einer To- 
desstrafe oder einer anderen Form grau- 
samer oder unmenschlicher Behandlung 
genutzt wird (EG 49/71). Die Übermitt- 
lung muss mit Zeitangabe, Empfänger 
und rechtfertigendem Grund dokumen- 
tiert werden. 

Art. 39 sieht eine weitere Ausnahme 
im Einzelfall bei Übermittlungen an be- 
liebige Dritte vor, wenn dies unbedingt 
notwendig ist für die Aufgabenerfüllung 
der übermittelnden Stelle und diese fest- 
stellt, dass Grundrechte gegenüber den 
öffentlichen Interessen an der Übermitt- 
lung nicht überwiegen, eine Übermitt- 
lung an die zuständige Stelle im Emp- 
fängerland keinen Erfolg verspricht, 
diese, soweit sinnvoll, informiert wird 
und dem Empfänger der spezifische 
Übermittlungszweck mitgeteilt wird. 
Dies kann in einem internationalen Ab- 
kommen vereinbart sein. Die Aufsichts- 
behörde der übermittelnden Behörde 
muss informiert werden (Art. 39). 


3.7 Datenschutzaufsicht 


Die Art. 41 bis 49 regeln die unabhän- 
gige Datenschutzkontrolle. Diese ist an 
die Regelungen in der EU-DSGVO an- 
gelehnt. Sie muss unabhängig sein und 
mit personellen, technischen und finan- 
ziellen Ressourcen ausgestattet sein, um 
ihre Aufgaben und Befugnisse effektiv 
umsetzen zu können (Art. 42). Die in der 
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EU-DSGVO vorgesehenen Behörden 
können auch als Aufsicht im Polizei- 
und Justizbereich eingesetzt werden. 


Die Aufgaben der Datenschutzauf- 
sicht liegen in der Datenschutzkont- 
rolle gemäß Art. 46 der Richtlinie, der 
Öffentlichkeitsarbeit, der Beratung von 
Parlament und öffentlichen Stellen, der 
Fortbildung verantwortlicher Stellen, 
der Bearbeitung von Betroffenenanfra- 
gen und -beschwerden, der Rechtmä- 
Bigkeitskontrolle bei der Auskunftser- 
teilung, der (europaweiten und interna- 
tionalen) Zusammenarbeit mit anderen 
Aufsichtsbehörden (Art. 50), der Durch- 
führung von Untersuchungen, der Beob- 
achtung relevanter Entwicklungen, der 
Beratung bei der Datenschutzfolgenab- 
schätzung und der Mitarbeit im Europä- 
ischen Datenschutzausschuss (Art. 51). 

Die Datenschutzaufsicht hat umfas- 
sende Ermittlungsbefugnisse sowie 
„wirksame Einwirkungsbefugnisse“. 
Dazu zählen Beanstandungen, Anord- 
nungen an die verantwortliche Stelle im 
Hinblick auf unzulässige Formen der 
Datenverarbeitung bis hin zu befristeten 
oder vollständigen Untersagungen be- 
stimmter Verfahren (Abs. 47 Abs. 1, 2). 
Außerdem ist im nationalen Recht vor- 
zusehen, dass die Aufsichtsbehörde die 
Befugnis erhält, Datenschutzverstöße 
einem justiziellen Verfahren zuzuführen 
(Art. 47 Abs. 5). Über wirksame Mecha- 
nismen muss gewährleistet werden, dass 
die zuständigen Aufsichtsbehörden ver- 
traulich über Datenschutzverstöße un- 
terrichtet werden können (Art. 48). Mit 
der Kooperationsbefugnis gegenüber 
anderen Aufsichtsbehörden korrespon- 
diert eine grds. unentgeltliche Koopera- 
tionspflicht (Art. 50 Abs. 4-8). Dem Eu- 
ropäischen Datenschutzausschuss kom- 
men, anders als nach der EU-DSGVO, 
keine Entscheidungsbefugnisse zu. Die 
Aufgaben bestehen vielmehr in der Be- 
ratung, der Herausgabe von Richtlinien, 
der Prüfung, der Abgabe von Stellung- 
nahmen, der Förderung von Kooperati- 
on, Schulung und Forschung. 


3.8 Rechtsschutz und Umsetzung 


Gemäß Art. 52 hat jeder Betroffene 
das Recht, sich mit einer Beschwerde 
wegen eines möglichen Datenschutzver- 
stoßes an eine Aufsichtsbehörde zu wen- 


den. Ist diese nicht zuständig, so leitet 
diese die Beschwerde an die zuständige 
Stelle weiter. Die Aufsichtsbehörde in- 
formiert den Betroffenen über den Fort- 
schritt und das Ergebnis der Beschwer- 
de einschließlich der Möglichkeiten 
für gerichtlichen Rechtsschutz. Gegen 
Entscheidungen der Aufsichtsbehörde 
sowie wegen deren Untätigkeit kann 
gerichtlicher Rechtsschutz erlangt wer- 
den (Art. 53). Ein gerichtlicher Rechts- 
behelf ist auch gegen die für die Verar- 
beitung verantwortliche Stelle oder den 
Auftragsdatenverarbeiter gegeben (Art. 
54). Im nationalen Recht ist auch vor- 
zusehen, dass Einrichtungen, Organisa- 
tionen oder Verbände das Recht haben, 
im Namen des oder der Betroffenen die 
Beschwerde- und Klagerechte nach den 
Art. 52, 53 und 54 wahrzunehmen. 


Im nationalen Recht sind zudem Haf- 
tungs- und Sanktionsregelungen vorzu- 
sehen (Art. 56, 57). 


Zur Umsetzung der Richtlinie gibt es 
ein Ausschussverfahren im Sinne der 
Verordnung (EU) Nr. 182/2011 (Art. 
58). Der Rahmenbeschluss 2008/977/ 
JHA wird aufgehoben (Art. 59). Interna- 
tionale Abkommen, die vor Inkrafttreten 
der Richtlinie geschlossen wurden und 
die mit Unionsrecht in Einklang stehen, 
bleiben in Kraft, bis diese verändert, er- 
setzt oder aufgehoben werden (Art. 61). 
In Art. 62 ist ein umfangreiches Evalu- 
ationsverfahren vorgesehen. Die ersten 
Berichte müssen innerhalb von 4 Jahren 
nach Inkrafttreten vorgelegt werden. In- 
nerhalb von 3 Jahren sind weitere Rege- 
lungen daraufhin zu überprüfen, ob sie 
angesichts der vorliegenden Richtlinie 
angepasst werden müssen. Gemäß Art. 63 
Abs. 4 teilen die Mitgliedstaaten der EU- 
Kommission mit, welche Vorschriften sie 
zur Umsetzung der vorliegenden Richtli- 
nie erlassen haben. 


4. Bewertung 


So zufrieden man als Datenschüt- 
zer mit dem Trilog-Ergebnis zur EU- 
DSGVO sein kann, so wenig ist dies 
bei der Datenschutzrichtlinie für Poli- 
zei und Justiz gerechtfertigt. Zwar ist 
diese gegenüber dem bisher geltenden 
Rahmenbeschluss ein Fortschritt. Doch 
genügen die materiellen Regelungen in 
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vieler Hinsicht nicht den hohen Anfor- 
derungen, die Eingriffe in das Grund- 
recht auf Datenschutz sowie in andere 
Grundrechte durch die Polizei und die 
Justiz stellen. Der Umstand, dass bei 
der europäischen Datenschutzreform 
die EU-DSGVO im Vordergrund stand, 
hat offenbar dazu geführt, dass bei der 
Richtlinie administrative Verarbeitungs- 
interessen keiner öffentlichen Kritik 
ausgesetzt waren und sich deshalb 
durchsetzen konnten. 

Gemäß den Anforderungen des EuGH 
sind für informationelle Eingriffe „kla- 
re und präzise Regeln für die Tragwei- 
te und die Anwendung einer Maßnah- 
me“ nötig, die sich „auf das absolut 
Notwendige“ beschränkt (EuGH, U. v. 
06.10.2015, Rn. 91, 92). Diesen Anfor- 
derungen genügt die Richtlinie selbst 
nicht. Dem muss aber das die Richtlinie 
umsetzende nationale Recht genügen. 


4.1 Mangelhafte Betroffenentrans- 
parenz 


Besonders defizitär sind die Ausnah- 
memöglichkeiten bei der Benachrichti- 
gung über verdeckte Maßnahmen bzw. 
bei der Auskunftserteilung. Diese sehen 
pauschale Informationsverweigerungen 
vor, ohne dass eine Abwägung im Einzel- 
fall erforderlich wäre, so in den Art. 13 
Abs. 4, 15 Abs. 2. Ohne Kenntnis einer 
Datenverarbeitung ist es einem Betroffe- 
nen unmöglich, sein Grundrecht auf Da- 
tenschutz in der Praxis auszuüben. Gera- 
de im Bereich von Strafverfolgung und 
Gefahrenabwehr haben Behörden umfas- 
sende Rechte zur heimlichen Datenerhe- 
bung. Umso wichtiger sind Benachrichti- 
gungen und Auskunftsansprüche, um die 
Rechtsmäßigkeit der informationellen 
Eingriffe überprüfen (lassen) zu können. 
Die Ausnahmeregelung in Art. 13 Abs. 3 
lit. b, 15 Abs. 1 lit. b „zur Gewährleistung, 
dass Verhütung, Aufdeckung, Untersu- 
chung oder Verfolgung von Straftaten 
nicht beeinträchtigt“ wird, eröffnet viele 
Möglichkeiten für willkürliche Informa- 
tionsverweigerungen. Entsprechendes 
gilt für die Verweigerung „zum Schutz 
der öffentlichen Sicherheit“ (Art 13 
Abs. 3 lit. c, 15 Abs. 1 lit. c). Die ge- 
nannten Regelungen genügen nicht den 
Bestimmtheitsanforderungen, die sich 
aus Art. 8 Abs. 2 S. 1 und 2 EUGRCh 
ergeben, wo es heißt: „Jeder Mensch hat 
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das Recht, Auskunft über die ihn betref- 
fenden erhobenen Daten zu erhalten ...“. 
Die Regelungen stellen nicht sicher, dass, 
wie im Grundrechtsbereich nötig, eine 
Abwägung im Einzelfall erfolgt. 

Mit den Regelungen wird zudem 
die in Art. 47 EUGRCH zugesicherte 
Möglichkeit der Erlangung effektiven 
Rechtsschutzes beeinträchtigt, dessen 
Bedeutung der EuGH in der Safe-Har- 
bor-Entscheidung vom 06.10.2015 her- 
vorgehoben hat (C-362/14, Rn. 64, 95). 


4.2 Auslandsübermittlung 


Es ist äußerst fraglich, ob die Über- 
mittlungsregelungen in Drittländer in 
den Art.35 ff. grundrechtskonform sind. 
Zwar enthält Art. 35 Abs. 3 eine salva- 
torische Abwägungsklausel: „Alle Re- 
gelungen dieses Kapitels sind so anzu- 
wenden, dass sichergestellt wird, dass 
das durch diese Richtlinie garantierte 
Schutzniveau für den Einzelnen nicht 
untergraben wird.“ Die dann folgenden 
Normen greifen aber diesen Grundge- 
danken nur ungenügend wieder auf. 
Insbesondere bei den „Ausnahmen in 
spezifischen Situationen“ gemäß Art. 
38 wird nicht in allen Fällen eine Abwä- 
gung gefordert (so explizit Art. 38 Abs. 2 
mit Bezug auf Abs. 1 lit. a-c). 

Die materiellen Voraussetzungen für 
Datenübermittlungen ohne adäquaten 
Datenschutz bei den Empfängern sind 
teilweise äußerst niedrig und allgemein 
formuliert. Dies ist etwa der Fall bei der 
„strengen Erforderlichkeit“ für die Auf- 
gabenerfüllung der übermittelnden Stel- 
le in Art. 39 Abs. 1 lit. a. (kritisch hierzu 
z.B. EuGH, U. v. 06.10.2015, Rn. 86 £.). 

Eine adäquate Interessenabwägung 
wird zudem dadurch in Frage gestellt, 
dass der Abwägungsvorgang ohne pro- 
zedurale Absicherungen regelmäßig 
durch die verantwortliche übermittelnde 
Stelle erfolgt, die mit der Übermittlung 
zumeist ein Eigeninteresse verfolgt. 
Nur in bestimmten Ausnahmefällen 
wird eine Informationspflicht gegen- 
über der Datenschutzaufsicht geregelt 
(Art. 37 Abs. 2), wobei eine Prüfung 
im Einzelfall nachschauend nur auf In- 
itiative der Datenschutzaufsicht vorge- 
sehen ist (Art. 37 Abs. 3, 38 Abs. 3). 
Eine wirksame präventive Sicherungs- 
wirkung kann ein solcher Mechanis- 
mus nicht entwickeln. 


5 Ausblick 

Das deutsche Sicherheitsrecht dürf- 
te weitgehend mit den materiell-recht- 
lichen Anforderungen der Richtlinie 
übereinstimmen. 

Die Regelungen der Richtlinie zum 
technisch-organisatorischen Daten- 
schutz genügen nicht den aktuellen An- 
forderungen. Angesichts der weiterge- 
henden Regelungen in der EU-DSGVO 
sowie in einigen Landesgesetzen sollten 
sich die deutschen Gesetzgeber in Bund 
und Ländern weniger an der Richtlinie 
als an diesen Vorbildern orientieren. 

Hinsichtlich der prozeduralen Rege- 
lungen zum Datenschutzbeauftragten, 
zur Datenschutzaufsicht und zum Rechts- 
schutz besteht auch in Deutschland gro- 
Ber Anpassungsbedarf. Bei diesem An- 
lass besteht die Möglichkeit, nicht nur die 
von der Richtlinie geforderten Minimal- 
standards einzuführen, sondern darüber 
hinausgehend Defizite der Richtlinie auf 
der nationalen Ebene zu beheben. 

Die Regelungsmaterien des deutschen 
Polizeirechts werden nicht vollständig 
von der Richtlinie erfasst, sondern be- 
fassen sich auch mit Rechtsfragen, die 
unter die EU-DSGVO fallen. Dies ist 
z. B. bei der Fahndung nach Vermiss- 
ten ohne Bezug auf das Vorliegen einer 
Straftat der Fall. Um insofern keine Un- 
stimmigkeiten zu bewirken, sollte sich 
die Umsetzung im Polizeirecht im Zwei- 
fel an den jeweils grundrechtsfreundli- 
cheren Regelungen der beiden europa- 
rechtlichen Instrumente orientieren. 

Die Umsetzung der Richtlinie dürfte 
wegen der bestehenden europäischen 
Grundrechtsbindung weitgehend für den 
EuGH justiziabel sein. In der Safe-Har- 
bor-Entscheidung vom 06.10.2015 hat 
der EuGH hohe materielle und proze- 
durale Anforderungen an Auslandsüber- 
mittlungen gestellt, insbesondere wenn 
diese ins Ausland ohne angemessenes 
Datenschutzniveau erfolgen (C-362/14, 
Rn. 39, 73-78). Dies muss bei der Um- 
setzung berücksichtigt werden, wollen 
die Gesetzgeber auf nationaler Ebene 
nicht, wie schon oft in der Vergangen- 
heit geschehen, gerichtlich korrigiert 
werden. Es ist davon auszugehen, dass 
es in den Mitgliedstaaten bei der grund- 
rechtskonformen Umsetzung der Richt- 
linie massive Defizite geben wird. Dann 
liegen alle Hoffnungen beim EuGH, der 
dies korrigieren kann und muss. 
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Anhang zum vorstehenden Beitrag: 


Inhalt/Gliederung 


Europäische Datenschutzrichtlinie 
für Polizei und Justiz 


Erläuterungen: 
1. Ziffer = Artikel in den Entwurfsfassungen 


2. Ziffer in Klammern = voraussichtliche Zäh- 
lung der Artikel in der Endfassung und im vor- 
stehenden Beitrag 


Text = Überschrift des Artikels/Kapitels/Ab- 
schnitts 


3. Ziffer in Klammer = erläuternde Erwägungs- 
gründe (EG) gemäß Entwurfsfassungen 


4. Ziffer in Klammer hinter Schrägstrich = vo- 
raussichtliche Zählung der Erwägung (EG) in 
Endfassung 


Kapitel 1 Allgemeine Bestimmungen 
1 Gegenstand und Ziele (1-5) 
2 Anwendungsbereich (6-15b/-20) 


3 Begriffsbestimmungen (16-17a, incl. Inter- 
pol/21-25) 


Kapitel 2 Grundsätze 


4 Grundsätze in Bezug auf die Verarbeitung per- 
sonenbezogener Daten (18-21/25-30) 


4b (5) Aufbewahrungsfristen 


5 (6) Unterscheidung verschiedener Kategorien 
von betroffenen Personen (23/31) 


6 (7) Unterscheidung von personenbezogenen 
Daten nach Richtigkeit und Zuverlässigkeit 
(24/32) 


7 (8) Rechtmäßigkeit der Verarbeitung (24a- 
25a/33-36) 


7a (9) Spezifische Verarbeitungsbedingungen 
(25a/36) 


8 (10) Verarbeitung besonderer Kategorien von 
personenbezogenen Daten (26/37) 


9 (11) Auf Profiling und automatischer Datenver- 
arbeitung basierende Maßnahmen (27/38) 


Kapitel 3 Rechte der betroffenen 
Person 


10 (12) Modalitäten für die Ausübung der Rechte 
der betroffenen Person (28-29a/39-41) 


10a (13) Information der betroffenen Person 
(30/42) 


12 (14) Auskunftsrecht der betroffenen Person 
(32/43) 


13 (15) Einschränkung des Auskunftsrechts (33- 
34a/44-46) 


15 (16) Recht auf Berichtigung, Löschung und 
Sperrung (36/47) 
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15a (17) Ausübung der Betroffenenrechte 
und Überprüfung durch die Aufsichtsbehörde 
(362/48) 


17 (18) Rechte der betroffenen Person in straf- 
rechtlichen Ermittlungen und in Strafverfahren 
(36aa, 82/49, 106) 


Kapitel 4 Für die Verarbeitung 
Verantwortlicher und Auftragsver- 
arbeiter 

Abschnitt 1 Allgemeine Verpflichtungen 


18 (19) Pflichten des für die Verarbeitung Verant- 
wortlichen (37-37b/50-52) 


19 (20) Datenschutz durch Technik und durch 
datenschutzfreundliche Voreinstellungen (38/53) 


20 (21) Gemeinsam für die Verarbeitung Vant- 
wortliche (39/54) 


21 (22) Auftragsverarbeiter (39a/55) 


22 (23) Verarbeitung unter der Aufsicht des für 
die Verarbeitung Verantwortlichen und des Auf- 
tragsverarbeiters 


23 (24) Dokumentation der Verarbeitung (40/56) 
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Jörg Pohle 


PERSONAL DATA NOT FOUND: 


Personenbezogene Entscheidungen als überfällige 
Neuausrichtung im Datenschutz 


Bei privacy, Privatheit, Privatsphäre, 
surveillance und Datenschutz handelt es 
sich unzweifelhaft um essentially con- 
tested concepts.! Alles an ihnen scheint 
umstritten, jeder Aspekt umkämpft: 
Das beginnt schon beim verwendeten 
Bezeichner, wie die vorstehende Auf- 
zählung zeigt, und geht weiter über den 
Phänomenbereich und das Schutzgut, 
den Grund oder die Gründe für dessen 
Gefährdung sowie das Schutzregime. 
Eines jedoch scheint für alle Beteiligten 
sicher zu sein: Das Problem dreht sich 
irgendwie um personenbezogene Infor- 
mationen.? 

Vor dem Hintergrund der Entwick- 
lung, die in den letzten Jahren sowohl 
die Geschäftsmodelle wie die Technik 
erfahren haben — von Big Data über 
Recommender Systems und Predictive 
Policing bis hin zum Internet of Things 
-, stellt sich die Frage, ob diese ange- 
nommene Selbstverständlichkeit, über 
personenbezogene Informationen — per- 
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sonenbezogene Daten in der Sprache 
des Datenschutzrechts’ — sprechen zu 
müssen, noch haltbar ist. 

Die Antwort darauf lautet — und der 
Beitrag wird dies zu belegen suchen 
— nein. Nicht personenbezogene Infor- 
mationen, sondern personenbezogene 
Entscheidungen durch Organisationen 
in strukturell vermachteten Informa- 
tionsbeziehungen sind zum Anknüp- 
fungspunkt von Datenschutztheorie und 
Datenschutzrecht zu machen. 


Ein Beispiel in vier Fällen 


Zur Beantwortung der Frage, ob per- 
sonenbezogene Informationen ein ge- 
eigneter Anknüpfungspunkt für eine 
Theorie zur Erklärung oder das Recht 
zur Lösung der oben angedeuteten Pro- 
bleme im Zusammenhang mit moderner 
Informationsverarbeitung und Entschei- 
dungsfindung sind, soll folgendes Bei- 


spiel dienen: Google entschei- 
det über Alice. Die Entschei- 
dung, von der hier die Rede 
ist, kann sich etwa darauf 
beziehen, welche Informatio- 
nen Alice als Antwort auf ihre 
Suchanfrage präsentiert wer- 
den und welche nicht, in wel- 
cher Reihenfolge die Sucher- 
gebnisse angeordnet werden 
oder welche Werbung dazu 
jeweils gezeigt wird.* Goog- 
le selbst ist, soviel ist sicher, 
eine Organisation. Die hier be- 
trachteten Informationsverar- 
beitungen und Entscheidungs- 
findungen liegen bei Google 
nicht in der Hand von Mitar- 
beiterinnen und Mitarbeitern, 
sondern sind — jedenfalls so 
weitgehend wie nur irgend 
möglich - industrialisiert.° 


Dieses Beispiel soll nun anhand von 
vier Fällen analysiert werden. 


Im ersten Fall verarbeitet Google 
personenbezogene Informationen über 
Alice und trifft die Entscheidungen über 
Alice auf Basis dieser Informationen. 
Alice’ privacy oder Privatheit ist min- 
destens tangiert, eventuell — das ist je 
nach Theorie unterschiedlich — ist sie 
auch verletzt, jedenfalls aber fällt die- 
ser Sachverhalt unzweifelhaft unter das 
deutsche und europäische Datenschutz- 
recht. 

Im zweiten Fall trifft Google die Ent- 
scheidungen über Alice auf der Basis 
von Informationen über Bob, die Goog- 
le zu diesem Zweck verarbeitet. Diese 
Situation kann etwa eintreten, wenn 
Alice Bobs Computer nutzt, und Google 
die Informationen daher als Informati- 
onen über Bob verarbeitet, oder wenn 
Google die Informationen aus anderen 
Gründen der falschen Person, nämlich 
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Bob, zuweist. In diesem Fall ist sicher 
Bobs privacy oder Privatheit betroffen 
und möglicherweise auch verletzt, aber 
jedenfalls nicht die von Alice. Die Infor- 
mationsverarbeitung unterfällt immer 
noch dem Datenschutzrecht, denn es 
werden personenbezogene Informati- 
onen verarbeitet und genutzt, aber nur 
Bob hat Betroffenenrechte gegenüber 
Google, etwa nach $$ 33 ff. BDSG, 
und Google hat datenschutzrechtliche 
Pflichten nur gegenüber Bob (und na- 
türlich gegenüber Aufsichtsbehörden), 
nicht aber gegenüber Alice. 

Im dritten Fall basieren Googles 
Entscheidungen über Alice auf rein 
statistischen, mithin also nicht perso- 
nenbezogenen Informationen. Dabei ist 
unerheblich, was die Basis der statisti- 
schen Informationen ist — sie können 
von vornherein nach $ 3a Satz 1 BDSG 
anonym erhoben oder nach $ 3a Satz 2 
BDSG nachträglich anonymisiert wor- 
den sein und sie können auf Alices Ak- 
tivitäten basieren oder auf Aktivitäten 
von vielen Menschen, die dann zu ei- 
ner generalisierten Person kondensiert 
wurden -, denn spätestens mit der nicht 
wieder aufhebbaren Anonymisierung 
entfällt „mangels Personenbezug die 
Anwendbarkeit des Gesetzes ohnehin“.‘ 
Und auch privacy oder Privatheit von 
Individuen sind nicht oder nicht mehr 
betroffen.’ 

Im vierten Fall trifft Google die Ent- 
scheidungen über Alice auf der Basis von 
Informationen, die sich Google einfach 
ausgedacht hat oder die schlicht reine 
Sachinformationen sind, etwa Informati- 
onen über das Wetter. Wieder handelt es 
sich nicht um einen privacy- oder privat- 
heitsbezogenen oder dem Datenschutz- 
recht unterfallenden Sachverhalt. 

In allen vier Fällen ist klar, dass die 
Beziehung zwischen Alice und Google 
von einer strukturellen Machtimbalance 
zugunsten Googles geprägt ist: Google 
entscheidet nach selbst gesetzten — und 
dabei nicht unbedingt in sich konsisten- 
ten oder auf Dauer gestellten — Maßstä- 
ben darüber, was Alice über sich selbst, 
die Gesellschaft, ja die Welt — oder 
womöglich auch nur über das Internet 
— wissen oder zumindest finden kann. 
Dennoch handelt es sich nur im ersten 
Fall — jedenfalls ausweislich aller priva- 
cy-, Privatheits- und Privatsphäretheo- 
rien — um ein privacy-, Privatheits- und 
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Privatsphäreproblem für Alice und — 
von einer Ausnahme im Telemedienge- 
setz abgesehen? — einen Fall des Daten- 
schutzrechts.’ 

Das alles heißt aber nichts anderes, 
als dass Entscheidungen über Menschen 
in vermachteten Beziehungen nur dann 
problematisiert werden, wenn diese auf 
der Basis von Informationen über die- 
se Menschen getroffen werden. Warum 
sollte es aber substantiell einen Unter- 
schied markieren, dass Google — oder ir- 
gendeine andere (informations-)mächti- 
ge Organisation — Entscheidungen über 
Menschen auf der Basis von Informatio- 
nen über andere Menschen — oder Grup- 
pen oder ganze Bevölkerungen oder das 
Wetter - trifft als auf der Basis von In- 
formationen über die Menschen selbst, 
über die Google entscheidet? Was ist 
dieser Unterschied, der als privacy, Pri- 
vatheit oder Privatsphäre bezeichnet 
wird, und was macht ihn schützenswert 
und geschützt durch das Recht? Kei- 
ne der existierenden Theorien versucht 
auch nur, darauf eine Antwort zu ge- 
ben.'® Und wenn sie es täte, dann müsste 
sie wohl sicher scheitern. 


Woher kommt die Fixierung 
auf personenbezogene Infor- 
mationen? 


Die erste Frage, die sich in diesem Zu- 
sammenhang stellt, ist die nach dem ge- 
schichtlichen Hintergrund der Fixierung 
der gesamten Debatte wie aller gesetzli- 
chen Regelungsregime auf personenbe- 
zogene Informationen. Eine umfassende 
Analyse der wissenschaftlichen Arbeiten, 
die im Laufe der privacy-, Privatheits- 
und Datenschutzdebatte die Richtung 
der Diskussion beeinflussten, ergibt, dass 
diese Fixierung wohl drei Ursachen hat: 
Die erste liegt in einem Übersetzungspla- 
giat aus dem Urheberrecht, die zweite in 
der Übernahme der informierten Einwil- 
ligung aus dem Bereich medizinischer 
Eingriffe und die dritte in einer Fehlvor- 
stellung darüber, wie rationale Bürokra- 
tien im Weberschen Sinne rationale Ent- 
scheidungen treffen. 


...aus dem Urheberrecht 


Obwohl Hans-Heinrich Maass schon 
vor Jahrzehnten darauf hingewiesen 


hat,!!' dass sich Samuel D. Warren und 
Louis D. Brandeis in ihrer bekannten 
Arbeit „The Right to Privacy“? ziem- 
lich frei bei Josef Kohler und seinem 
Werk „Das Autorrecht‘'?— vor allem für 
die Konstruktion ihrer Argumentations- 
struktur — bedienten, ohne es zu zitieren, 
sind dieser Zusammenhang und die da- 
raus resultierenden Folgen für das right 
to privacy bisher nicht wissenschaftlich 
untersucht. '* 

Kohler argumentiert in seiner Arbeit, 
dass aus dem von ihm als schon im Rö- 
mischen Recht durch die actio iniuria- 
rum, die auch Warren und Brandeis als 
historischen Bezugspunkt verwenden, '® 
als geschützt angesehenen „Individu- 
alrecht“ Autorinnen und Autoren das 
Recht erwachse, „daß ein Jeder allei- 
niger Herr ist, zu bestimmen, welche 
Aeußerungen und Kundgebungen er 
in das Publikum tragen will und wel- 
che nicht“.'% Diese Formulierung, die 
sich auch bei Warren und Brandeis als 
„determining, ordinarily, to what extent 
his thoughts, sentiments, and emotions 
shall be communicated to others“ fin- 
det,'” ist eng gebunden an den betrach- 
teten Phänomenbereich und den zu- 
grunde gelegten Sachverhalt — sowohl 
bei Kohler wie auch bei Warren und 
Brandeis. In dem Bereich, den Kohler 
betrachtet, geht es um die Frage, wer 
das Recht habe zu entscheiden, ob ein 
Werk - die „Aeußerungen und Kundge- 
bungen‘“ — mit dem Akt der Veröffentli- 
chung einer unbeschränkten Öffentlich- 
keit zugänglich gemacht werden soll. 
Während der Angreifer hier ein Verlag 
ist, der das Werk ohne Zustimmung der 
Autorin oder des Autors publiziert, ist 
es im Falle Warren und Brandeis’ die 
Presse, die „the sacred precincts of pri- 
vate and domestic life‘“'® ans Licht der 
Öffentlichkeit zerrt. 

In beiden Fällen ist es demnach der 
Akt dieser Weitergabe — ob an eine oder 
mehrere andere Personen oder an eine 
unbeschränkte Öffentlichkeit -, der 
einen Eingriff darstellt und damit zu- 
gleich zum konstitutiven Element des 
Konzeptes oder der Theorie gemacht 
wird, nicht jedoch eine oder mehrere 
Entscheidungen, die — ob auf der Ba- 
sis der veröffentlichten Informationen 
oder nicht — über die Betroffenen ge- 
troffen werden. Privacy ist damit von 
Warren und Brandeis, indem sie sich 
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im Urheberrecht bedienten, an den ihm 
zugrunde liegenden Vorgang gebun- 
den worden: ein Etwas, das aus dem 
„Innersten“ der oder des Betroffenen 
kommt, und für das die Entscheidung 
über deren Verbreitung an ein Publi- 
kum auch in die Hände dieser Betroffe- 
nen gelegt werden soll. 


...aus dem medizinischen Bereich 


Eine zweite historische Grundlage hat 
die Fixierung auf personenbezogene In- 
formationen in der spezifischen Konst- 
ruktion der informierten Einwilligung, 
wie sie von Oscar M. Ruebhausen und 
Orville G. Brim, Jr., aus der Medizi- 
nethik übernommen wurde.!” Diese 
Arbeit, in der sich die Autoren unter 
anderem explizit auf die Ergebnisse des 
Nürnberger Ärzteprozesses bezogen, 
wurde in der zweiten Hälfte der 1960er 
und der ersten Hälfte der 1970er Jahre 
breit rezipiert, wenn es darum ging, wel- 
che Anforderungen an eine informierte 
Einwilligung zu stellen seien. 

Der eigentliche Untersuchungsgegen- 
stand der Arbeit war die Verhaltensfor- 
schung und die Frage, welche Informa- 
tionen und welche Zusicherungen den 
Beforschten über die Erhebung, Spei- 
cherung und Verwendung der Informa- 
tionen, die im Rahmen der Forschung 
anfallen, gegeben werden müssten.” 
Einer der wesentlichen Hintergründe 
ist natürlich, dass grundsätzlich davon 
ausgegangen werden kann, dass die Be- 
forschten sich eher beforschen lassen 
und dabei wahrheitsgemäß antworten 
würden, wenn sie Vertrauen in die In- 
tegrität der Forscherinnen und Forscher 
und in die Vertraulichkeit ihrer gemach- 
ten Angaben haben." 

Auch hier geht es also wieder nicht 
darum, ob Entscheidungen über die 
Betroffenen getroffen werden und von 
wem, sondern — neben der Zweckbin- 
dung”? — vor allem um die Frage einer 
eventuellen Weitergabe von Informati- 
onen aus dem Innenleben der Betroffe- 
nen, der private personality. 


...von der Unterstellung eines fehl- 
verstandenen Rationalismus 


Eine dritte Ursache, die die Fixierung 


auf personenbezogene Informationen 
erklärt, liegt in einer weitverbreiteten 
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Zuschreibung von Eigenschaften an ei- 
nen bestimmten Akteur, der Entschei- 
dungen über Menschen — und Dinge 
— trifft: die moderne Organisation.” In 
der Frühphase der modernen privacy- 
und Datenschutzdebatte werden solche 
Organisationen fast durchgängig als ra- 
tionale Bürokratien im Weberschen Sin- 
ne verstanden, „die die Prozesse ihrer 
eigenen Entscheidungsfindung rational 
vorplanen, die dafür notwendigen Infor- 
mationsverarbeitungsprozesse geeignet 
formalisieren und danach funktionieren 
wie ein Uhrwerk“.’* Einer der wenigen, 
der offenlegt, wie sehr seine Konzepti- 
on von einer solchen zugeschriebenen, 
spezifischen Rationalität des Daten- 
verarbeiters abhängig ist, ist Christoph 
Mallmann: „die Datenverarbeitung in 
der öffentlichen Verwaltung erfolgt 
zweckrational im Sinne Max Webers.“ 
Dieser modernen Bürokratie wird also 
zugeschrieben, dass sie ihre rationalen 
Entscheidungen über Menschen in ra- 
tionaler Weise treffen würde — und das 
heißt, auf der Basis von Informationen 
über diese Menschen,” und zwar mög- 
lichst vielen Informationen.” Sehr deut- 
lich wird dies in Wilhelm Steinmüllers 
Annahme über das „unausgesprochene 
Ziel aller technokratisch ausgerichteten 
ADV“, der automationsunterstützten 
Datenverarbeitung: „Alle Daten über 
alle Betroffenen werden nur einmal 
erfaßt, einmal gespeichert, einmal ge- 
löscht — »Minimierung der Datenmen- 
ge«-; alle Daten werden möglichst häu- 
fig verarbeitet und weitergegeben sowie 
möglichst vielen Benutzern zur Auswer- 
tung überlassen — »Maximierung der 
Datenflüsse und DV-Leistung« [...]“* 
Vor diesem Hintergrund wird dann 
verständlich, warum — trotz der schon 
seinerzeit, wenn auch selten, geäußer- 
ten Kritik” — es damals als zugleich 
notwendig wie hinreichend angesehen 
wurde, den „Informationshaushalt“ 
(Adalbert Podlech) der Organisationen 
zu regulieren,” um deren Produktion 
von Entscheidungen unter Kontrolle zu 
bringen. Es bleibt aber zu konstatieren, 
dass sich die Unterstellung, rationale 
Organisationen würden Entscheidungen 
über Menschen nur auf der Basis von 
personenbezogenen Informationen über 
diese Menschen treffen, inzwischen als 
nicht mehr haltbar herausgestellt hat.’ 
Daher überrascht es durchaus, dass es 


bis heute — von einigen wenigen Ausfüh- 
rungen zum „Institutionaldatenschutz“? 
abgesehen - keine einzige privacy- oder 
Datenschutztheorie gibt, die ohne eine 
Anknüpfung an personenbezogene In- 
formationen auskommt, obwohl diese 
(Selbst-)Beschränkung auf personen- 
bezogene Informationen gerade nicht 
schon in der Analyse des Problems von 
Informationsmacht zwischen Organisa- 
tion auf der einen und Individuen und 
Gruppen auf der anderen Seite selbst 
angelegt ist.” 

Damit ist festzustellen, dass es zwar 
historische Zusammenhänge gibt, die 
die Fixierung auf personenbezogene 
Informationen erklären, um eine hin- 
reichende Begründung handelt es sich 
dabei jedoch nicht. Wo sich in der Ver- 
gangenheit die Bezugnahme auf per- 
sonenbezogene Informationen wissen- 
schaftlich rechtfertigen musste, geschah 
dies ausschließlich in der Auseinander- 
setzung mit konkurrierenden Ansätzen 
wie etwa der Sphärentheorie oder der 
Privat-öffentlich-Dichotomie,’* die zu- 
gleich jeweils nur eine Beschränkung 
des Anwendungsbereiches der jeweili- 
gen privacy- und Datenschutztheorien 
auf Teilmengen von personenbezogenen 
Informationen forderten, etwa auf be- 
stimmte Datenkategorien. 


Folgen der Selbstbeschränkung 
auf personenbezogene Infor- 
mationen 


Die zweite zentrale Frage, der sich 
diese Arbeit annimmt, ist die nach 
den Folgen, die diese konzeptionelle 
Selbstbeschränkung für den Schutz von 
Betroffenen wie Alice in den oben be- 
schriebenen und allen vergleichbaren 
Fällen hat. 

Die offensichtliche Folge dieser Fi- 
xierung auf personenbezogene Informa- 
tionen als Schutzobjekt entspricht dem, 
was Kuhn als Selbstisolierung von wis- 
senschaftlichen Disziplinen oder Com- 
munities beschrieben hat: Das zugrunde 
liegende gesellschaftliche Problem -— 
das Machtproblem und das Problem der 
Entscheidung über Menschen — kann 
schlicht nicht beschrieben werden „in 
terms of the conceptual and instrumen- 
tal tools the [privacy, Einfügung des 
Autors] paradigm provides.‘ Mit die- 


DANA » Datenschutz Nachrichten 1/2016 


ser Fixierung reproduziert sich zugleich 
— auf der gesellschaftlichen Ebene — die 
Schließung des Diskursraumes.°‘ 

Personenbezogene Informationen sind 
als Bezugspunkt und Schutzobjekt des 
Rechts aus informatischer, soziologi- 
scher wie rechtlicher Sicht ungeeignet, 
insoweit es für Organisationen möglich 
ist, individuelle Diskriminierung auch 
auf der Basis anonymer oder statistischer 
Informationen vorzunehmen. Das gilt 
gerade auch für strukturell vermachtete 
Verhältnisse wie die zwischen Organi- 
sationen und ihrem Klientel. Sowohl aus 
der Außenperspektive wie aus der Pers- 
pektive von Alice ist es gleich, ob Google 
— oder irgendeine andere (informations-) 
mächtige Organisation — Entscheidungen 
über sie auf der Basis von Informatio- 
nen über sie oder über andere Menschen 
trifft. Auch kann Alice — sowohl nach 
der derzeitigen Datenschutzrechtslage 
wie nach allen privacy-Theorien — nicht 
einmal feststellen, auf welcher Basis 
Google über sie entscheidet, solange es 
sich dabei nicht um personenbezogene 
Informationen über sie selbst handelt, 
denn Google ist ihr darüber nicht begrün- 
dungspflichtig. Statt dessen perpetuiert 
und zementiert sich damit Googles Infor- 
mationsmacht über Alice. 

Die Entscheidung, Alice — und alle 
anderen Betroffenen — im vermachteten 
Verhältnis zu Organisationen nur dann 
zu schützen, wenn die Organisation ihre 
Macht unter Verwendung personenbezo- 
gener Informationen über Alice ausübt, 
ist sowohl arbiträr wie am eigentlichen 
Problem vorbeigehend.?’ Alice wird der 
Macht der Organisation gerade immer 
dann schutzlos ausgeliefert, wenn es der 
Organisation gelingt, ihre Machtbasis, 
nämlich Informationen, erfolgreich zu 
tarnen: Eine jede Theorie, die perso- 
nenbezogene Informationen und deren 
Erhebung, Speicherung, Verarbeitung 
und Verwendung falsch als das Problem 
selbst ausweist, erklärt damit zugleich 
die Erhebung, Speicherung, Verarbei- 
tung und Verwendung anderer als per- 
sonenbezogener Informationen für un- 
problematisch. Die Nicht-Verarbeitung 
personenbezogener Informationen, die 
(Selbst-),„Beschränkung“ von Organi- 
sationen auf die Verarbeitung anonymer 
oder anonymisierter Informationen, die 
Möglichkeiten zum „Selbstdatenschutz“ 
— dies alles sind nur Placebos zur Be- 
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ruhigung der Betroffenen®® und zur Si- 
cherstellung der gesellschaftlichen Ak- 
zeptanz einer „universellen Verdatung 
aller Lebensbereiche“. Es ist darum 
auch kein Wunder, wenn der Schutz von 
Betroffenen vor der „überlegen standar- 
disierenden Strukturierungsmacht von 
Organisationen“, den privacy- und Da- 
tenschutztheorien zu verfolgen vorge- 
ben,*' inzwischen häufig nicht mehr als 
privacy- oder Datenschutzproblem, son- 
dern als Verbraucher_innenschutz- oder 
Kartellrechtsproblem betrachtet wird — 
und betrachtet werden muss, weil sich 
privacy- und Datenschutztheorien einer 
Auseinandersetzung damit verweigern. 


Personenbezogene Entschei- 
dungen als passenderer An- 
knüpfungspunkt 


Die dritte Frage, die sich in diesem 
Zusammenhang stellt, ist nun offen- 
sichtlich: Welcher Anknüpfungspunkt 
ist besser geeignet als das Konzept der 
personenbezogenen Informationen, um 
in vermachteten Informationsbeziehun- 
gen wie in den oben beschriebenen und 
allen vergleichbaren Fällen den Schutz 
von Betroffenen wie Alice sicherzustel- 
len? Aus dem Vorstehenden lässt sich 
bereits ersehen, wie dieser Ansatz aus- 
sehen kann, um den Datenschutz und 
das Datenschutzrecht vom Kopf auf die 
Füße zu stellen. 

Sicher ist, dass eine Datenschutztheo- 
rie für sich in Anspruch nehmen sollte, 
die strukturellen Machtasymmetrien, 
die mit der und durch die Industriali- 
sierung der gesellschaftlichen Infor- 
mationsverarbeitung erzeugt, verstärkt 
oder verfestigt werden,*” als solche zu 
problematisieren, unabhängig davon, ob 
sich die verarbeiteten Informationen auf 
Individuen, Gruppen, Organisationen, 
Sachen oder selbst Konzepte beziehen. 
Aber auch wenn sie das nicht versucht, 
muss sie zumindest die Klasse von Pro- 
blemen adressieren, die entstehen, wenn 
in solchen vermachteten Verhältnissen 
sozial, politisch und ökonomisch mäch- 
tige Akteure Entscheidungen über Men- 
schen treffen und diese Akteure dann 
in der Lage sind, diese Entscheidungen 
den Menschen zu oktroyieren. Die indi- 
viduelle Betroffenheit, die offensicht- 
lich in der von der liberalen Ideologie 


geprägten Vorstellung der bürgerlichen 
Gesellschaft nachgewiesen werden 
muss, damit ein gesellschaftliches Prob- 
lem politisch wie rechtlich adressierbar 
wird — wenn auch eben nur in der Form 
einer individuellen Betroffenheit —, ent- 
steht gerade aus sozial relevanten perso- 
nenbezogenen Entscheidungen in struk- 
turell vermachteten Informationsbezie- 
hungen. Über diesen Anknüpfungspunkt 
der personenbezogenen Entscheidung 
wären dann auch alle Informationen, 
die zur Grundlage dieser Entscheidung 
gemacht worden sind oder gemacht wer- 
den sollen, und nicht nur die personen- 
bezogenen, rechtlich adressierbar.* 

Mit einer derart gestalteten Anknüp- 
fung an automationsgestützte personen- 
bezogene Entscheidungen in strukturell 
vermachteten Verhältnissen lassen sich 
nicht nur die historischen Fehlüber- 
nahmen aus Gegenstandsbereichen, die 
mit Entscheidungsfindung nichts zu 
tun haben, korrigieren, sondern es er- 
laubt auch, ein weiteres — weitgehend 
in Vergessenheit geratenes — Problem 
zu adressieren: Schon die Diskussionen 
in den privacy-Anhörungen in beiden 
Kammern des United States Congress 
in den 1960er Jahren zeigten, dass die 
Regulierung von Nutzungen — und dazu 
gehören auch Entscheidungen — allein 
nicht ausreicht.” Der Grund dafür ist 
offenkundig: Die Entscheidungen sind 
selbst „Produkt“ der Informationen und 
ihrer Verarbeitung, wobei die Informati- 
onen wiederum „Produkt“ der zugrunde 
gelegten Modellannahmen sind.” Dar- 
aus folgt dann aber zwingend, dass eine 
Anknüpfung an automationsgestützte 
personenbezogene Entscheidungen ge- 
rade nicht zu einer erneuten Selbstbe- 
schränkung führen darf — hier nun als 
Selbstbeschränkung auf die Entschei- 
dung -, sondern die Produktion der Ent- 
scheidung und deren Bedingungen zum 
Gegenstand von Theorie und Regulie- 
rung machen muss. 

Wenn also das Ziel des Datenschutzes 
nicht einfach sein soll, mit überkom- 
menen Regelungsinstrumenten indi- 
viduelle Befindlichkeiten zu schützen, 
sondern die Freiheitsräume — als die 
Bedingungen der Möglichkeit zur Frei- 
heitsausübung — von strukturell und 
informationell Schwächeren unter den 
Bedingungen der Industrialisierung der 
gesellschaftlichen Informationsverar- 
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beitung und gegen die überlegen stan- 
dardisierende Strukturierungsmacht von 
Organisationen zu schützen, indem die 
Modellifizierungs- und Entscheidungs- 
macht von Organisationen mit ihren 
Folgen für Individuen und Gesellschaft, 
für Rechtsstaat, Sozialstaat und Demo- 
kratie und für die Freiheitsversprechen 
der bürgerlichen Gesellschaft wirksam 
beschränkt wird, dann gilt es, dafür die 
passenden Konzepte, Anknüpfungs- 
punkte und Instrumente auszuwählen. 
Dazu muss eine Umstellung vorgenom- 
men werden, denn nicht einfach die per- 
sonenbezogenen Informationen, sondern 
die personenbezogenen Entscheidungen 
sind es, die durch das Datenschutzrecht 
unter Bedingungen zu stellen sind. Das 
gilt es zum Thema einer informierten 
Datenschutzdebatte zu machen, bevor 
das Problem — dann wiederum nur ein- 
seitig — als Verbraucher _innenschutz- 
oder Kartellrechtsproblem endet. 


1 Siehe dazu Walter Bryce Gallie. 
„Essentially Contested Concepts“. In: 
Proceedings of the Aristotelian Society. 
New Series 56 (1956), S. 167-198. Ich 
bedanke mich bei Michael Plöse und 
Martin Rost für die kritische Durchsicht 
dieses Beitrags und die sehr produktiven 
Diskussionen zu Datenschutztheorie und 
Datenschutzrecht. 


2 Auch an dieser Stelle gibt es genug 
Raum für Streit, etwa zum Begriff und 
zum zugrunde gelegten Informations- 
konzept, zur Frage, welche Rolle genau 
personenbezogene Informationen in 
diesem Zusammenhang spielen — etwa 
ob sie Schutzgut oder nur rechtlicher An- 
knüpfungspunkt sind —, ob alle Informa- 
tionen oder nur „private“ — im Gegensatz 
zu „öffentlichen“ — oder nur „sensitive“ 
— im Gegensatz zu „nicht-sensitiven“ — 
eingeschlossen werden und ob sich „per- 
sonenbezogen“ nur auf Menschen oder 
auch auf Gruppen oder Organisationen 
— in der Sprache des Rechts: juristische 
Personen — bezieht. 


3 Siehe $ 3 Abs. 1 BDSG. Über den 
Bezeichner „Daten“ ist schon genug 
geschrieben worden, es handelt sich aber 
klar um einen Informationsbegriff, siehe 
Jörg Pohle. „Die immer noch aktuellen 
Grundfragen des Datenschutzes“. In: 
Wovon - für wen — wozu. Systemdenken 
wider die Diktatur der Daten. Wilhelm 
Steinmüller zum Gedächtnis. Hrsg. 
von Hansjürgen Garstka und Wolfgang 
Coy. Humboldt-Universität zu Berlin, 
Hermann von Helmholtz-Zentrum 
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für Kulturtechnik. Berlin, 2014, S. 
45-58. URL: http://nbn-resolving.de/ 
urn:nbn:de:kobv:11-100217316, S. 49 £. 


4 Google ist eine „Weltvermessungsfirma“ 


(Martin Rost), ökonomisch allerdings in 
erster Linie eine Werbefirma mit ange- 
schlossener Suchmaschine. 


5 Das Management von Google trifft 


allerdings durchaus politisch relevante 
Entscheidungen, die dann als Technik, 
als Basis der Industrialisierung, auskris- 
tallisieren. Für diese saubere Tren- 

nung zwischen den unterschiedlichen 
Entscheidungsebenen, die sich auch in 
unterschiedlichen Folgen niederschlagen, 
danke ich Martin Rost. 


6 Ulrich Dammann in Spiros Simitis, 


Hrsg. Bundesdatenschutzgesetz. 7. Aufl. 
Baden-Baden: Nomos Verlagsgesell- 
schaft, 2011, $ 3 Rn. 198. 


7 Das gilt selbst für Konstrukte wie 


dezisionale Privatheit, siehe Beate 
Rössler. Der Wert des Privaten. Frank- 
furt am Main: Suhrkamp Verlag, 2001, 
S. 18, 25, 144 ff. wenn diese sich nicht 
schon auf jede von beliebigen Anderen 
beeinflusste Entscheidungsgrundlagen 
beziehen sollen, sondern sich — wie bei 
Rössler — auf intentionale Beeinflussung 
von Entscheidungen beschränken. Siehe 
dazu etwa die Verwendung des Begriffs 
„einmischen“, S. 148. 


8 Siehe $ 13 Abs. 6 TMG, siehe dazu auch 


die Diskussion zu dem von Marit Hansen 
angesprochenen Fall in Jörg Pohle und 
Andrea Knaut, Hrsg. Fundationes I: 
Geschichte und Theorie des Datenschutzes. 
Münster: Monsenstein und Vannerdat, 
2014, S. 218, Rn. 35 und S. 225, Rn. 53 ff. 


9 Einen ersten Schritt zur Überwindung 


dieser Beschränkung geht das Standard- 
Datenschutzmodell, siehe grundlegend 
Martin Rost. „Standardisierte Daten- 
schutzmodellierung“. In: Datenschutz und 
Datensicherheit 36.6 (2012), S. 433-438, 
das personenbezogene Verfahren zu- 
grunde legt. Damit soll bereits auf das 
Prozessieren von Daten, gleich welchen 
Ursprungs, auf Seiten von Organisati- 
onen verwiesen werden, wenn sie nur auf 
Personen bezogen werden. Siehe aber 
auch die eingeschränktere Definition im 
SDM-Handbuch, die immer noch auf dem 
Konzept der personenbezogenen Daten 
aufsetzt, Das Standard-Datenschutzmo- 
dell: Konzept zur Datenschutzberatung 
und -prüfung auf der Basis einheitlicher 
Gewährleistungsziele. Konferenz der 
unabhängigen Datenschutzbehörden des 
Bundes und der Länder, 2015. URL: htt- 
ps://www.datenschutz-mv.de/datenschutz/ 
sdm/SDM-Handbuch_V09a.pdf, S. 7, 

29, und zugleich die darüber hinausrei- 
chenden Beispiele, etwa S. 21 £. 


10 Dieser Problembereich, also etwa die 
mögliche Diskriminierung auch anony- 


misierter Personen aufgrund statistischer 
Informationen, mag inzwischen durchaus 
diskutiert werden, siehe zuletzt Alexan- 
der Roßnagel und Maxi Nebel. „(Verlo- 
rene) Selbstbestimmung im Datenmeer: 
Privatheit im Zeitalter von Big Data“. In: 
Datenschutz und Datensicherheit (2015), 
S. 455-459, aber diese Diskussion führte 
bislang an keiner Stelle zu der Erkennt- 
nis, dass das Problem in der arbiträren 
Anknüpfung an personenbezogene 
Informationen liegt. 


11 Siehe Hans-Heinrich Maass. Information 
und Geheimnis im Zivilrecht. Stuttgart: 
Ferdinand Enke Verlag, 1970, S. 15. 


12 Samuel D. Warren und Louis D. Brand- 
eis. „The Right to Privacy“. In: Harvard 
Law Review (1890), S. 193- 220. 


13 Josef Kohler. Das Autorrecht. Jena: 
Verlag Gustav Fischer, 1880. 


14 James Whitmans Arbeit, in der es um das 
Verhältnis zwischen den europäischen 
und amerikanischen Ansätzen geht, 
kann nicht wirklich als wissenschaftlich 
durchgehen, und das nicht nur weil er 
aus unerfindlichen Gründen versucht, 
Warren und Brandeis Arbeit mit der Otto 
von Gierkes zu vergleichen, siehe James 
Q. Whitman. „The Two Western Cultures 
of Privacy: Dignity versus Liberty“. In: 
The Yale Law Journal 113.6 (2004), S. 
1151-1221. Eine umfassende Untersu- 
chung steht also noch immer aus. 


15 Siehe Warren und Brandeis, „The Right 
to Privacy“, S. 197 £. 


16 Kohler, Das Autorrecht, S. 137. 


17 Warren und Brandeis, „The Right to 
Privacy“, S. 198. 


18 Warren und Brandeis, „The Right to Priva- 
cy“,S. 195. Bei Kohler heißt es noch „das 
Heiligthum des geistigen Innenlebens“, 
siehe Kohler, Das Autorrecht, S. 142. 


19 Siehe Oscar M. Ruebhausen und Orville 
G. Brim Jr. „Privacy and Behavioral 
Research“. In: Columbia Law Review 
65.7 (1965), S. 1184-1211. 


20 Siehe Ruebhausen und Brim, „Privacy 
and Behavioral Research“, S.1196 £. 
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21 Dieser sehr pragmatische Grund für 
die Gewährleistung von privacy wird 
explizit angesprochen, siehe Ruebhau- 
sen und Brim, „Privacy and Behavioral 
Research“, S. 1198. 


22 Zum Einfluss dieser Arbeit auf die histo- 
rische Konstruktion des Zweckbindungs- 
grundsatzes, siehe Jörg Pohle. „Zweck- 
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bindung revisited“. In: Datenschutz 
Nachrichten 38.3 (2015), S. 141-145, 
Ss. 141. 
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Grundfragen des Datenschutzes“, S. 
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Datenschutznachrichten aus Deutschland 


Bund 


Kanzleramt will BND 
besser kontrollieren 


Als Konsequenz aus dem NSA-Skan- 
dal will das Kanzleramt den Bundes- 
nachrichtendienst (BND), den deutschen 
Auslandsgeheimdienst, an eine kürzere 
Leine nehmen und dem Bundestag ein 
schärferes Kontrollrecht geben. Die Zu- 
sammenarbeit mit ausländischen Part- 
nern wie dem US-Dienst National Secu- 
rity Agency (NSA) soll strengeren Re- 
geln unterworfen werden. Die Rolle der 
Regierungszentrale als Genehmigungs- 
und Kontrollinstanz soll verstärkt, Wirt- 
schaftsspionage ausgeschlossen werden. 
Der BND war im Zusammenhang mit 
der NSA-Affäre u. a. in die Kritik gera- 
ten, weil er für die NSA lange Zeit un- 
zulässige Suchbegriffe eingesetzt hatte. 
Diese sollen nach BND-Angaben mittler- 
weile aussortiert sein. Auch BND-eigene 
sogenannte Selektoren zur Spionage im 
weltweiten Datenstrom sollen gegen das 
Auftragsprofil des Dienstes verstoßen 
haben. Der BND hatte immer wieder be- 
tont, etwa keine Wirtschaftsspionage zu 
betreiben. 

Im mehr als 30-seitigen Entwurf des 
Kanzleramts heißt es, Ziel des Gesetzes 
sei es insbesondere, Rechtsklarheit bei 
der Fernmeldeaufklärung von Ausländer- 
Innen im Ausland herzustellen, die der 
Auslandsnachrichtendienst von deut- 
schem Boden aus betreibt. Es gehe dar- 
um, „dadurch das Vertrauen in die Tätig- 
keit des BND zu stärken“ und die Rechts- 
sicherheit für dessen MitarbeiterInnen zu 
erhöhen. Das Kanzleramt stellt sich mit 
dem Entwurf weiterhin hinter den Auf- 
trag des BND zur Aufklärung von für die 
Außen- und Sicherheitspolitik bedeutsa- 
men Themen, etwa im Kampf gegen den 
Terror, die Verbreitung von Massenver- 
nichtungswaffen, die organisierte Krimi- 
nalität und die Aufklärung der politischen 
Lage in bestimmten Ländern. 
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Der Einsatz der umstrittenen Suchbe- 
griffe soll nach dem Entwurf eingegrenzt 
werden. Es dürften nur Begriffe verwen- 
det werden, die „im Einklang mit den 
außen- und sicherheitspolitischen Inter- 
essen‘ Deutschlands stünden. An dieser 
Selbstverständlichkeit hatte es Zweifel 
gegeben. Dem Dienst war vorgeworfen 
worden, unrechtmäßig auch europäische 
Behörden, diplomatische Einrichtungen 
und in Einzelfällen verbotenerweise so- 
gar deutsche Staatsbürger im Ausland 
ausspioniert zu haben. Im Entwurf heißt 
es: „Suchbegriffe, die zur gezielten Er- 
fassung von Einrichtungen der Europä- 
ischen Union, öffentlichen Stellen ihrer 
Mitgliedstaaten oder von Unionsbürgern 
führen, dürfen durch den Bundesnach- 
richtendienst nur verwendet werden, 
wenn dies zur rechtzeitigen Erkennung 
und Begegnung von Gefahren für bedeu- 
tende Rechtsgüter notwendig ist.“ 

Suchbegriffe dürften in diesem Zusam- 
menhang „nur nach Anordnung durch den 
Behördenleiter oder seinen Stellvertreter 
verwendet werden, wenn dies zur Auf- 
klärung eines Vorgangs mit besonderer 
Auftragsrelevanz erforderlich ist“. Das 
Kanzleramt sei über diese Anordnungen 
zu unterrichten. Zudem soll das Kanz- 
leramt auf Antrag des BND-Präsidenten 
oder seines Stellvertreters entscheiden, 
in welchen Telekommunikationsnetzen 
jeweils spioniert werden darf. 

Das Kanzleramt soll demnach monat- 
lich eine noch zu bestimmende Kontroll- 
kommission über diese Anordnungen un- 
terrichten — und zwar vor deren Vollzug. 
Dieses Gremium solle „Zulässigkeit und 
Notwendigkeit der Anordnung“ prüfen. 
Eine Vorab-Unterrichtung könne unter- 
bleiben, wenn die Gefahr bestehe, dass 
dadurch „das Ziel der Maßnahme verei- 
telt oder wesentlich erschwert wird“. Im 
Gespräch war 2015 zudem die Einset- 
zung eines ständigen Bevollmächtigten 
zur Verbesserung der parlamentarischen 
Kontrolle. Gemäß dem Gesetzentwurf 
müssten durch das neu einzuführende 


Antragsverfahren im Kanzleramt drei 
und beim BND voraussichtlich zwölf 
zusätzliche Planstellen geschaffen wer- 
den. Die damit verbundenen jährlichen 
zusätzlichen Personalkosten werden ins- 
gesamt auf knapp zwei Millionen Euro 
beziffert. 

Der Entwurf ist noch nicht in der Koa- 
lition abgestimmt und eine erste Grundla- 
ge für weitere Diskussionen. Der innen- 
politische Sprecher der Unionsfraktion, 
Stephan Mayer (CSU), erklärte: „Wir 
werden sehr genau schauen müssen, ob 
der jetzige Entwurf nicht zu weit geht, 
wir dürfen den BND nicht entmannen“. 
Die SPD soll den Vorschlägen des Kanz- 
leramts weitgehend zustimmen. In einem 
Punkt verlangt sie eine Nachbesserung: 
Die Regierung will die neuen Regeln nur 
gelten lassen, wenn die Abhöroperationen 
aus Deutschland heraus stattfinden oder 
wenn sog. Transitverkehre — etwa am 
Internetknoten in Frankfurt — auf deut- 
schem Boden abgefangen werden. Die 
SPD fordert dagegen eine weltweite Gül- 
tigkeit bei den Abhörpraktiken (Kanzler- 
amt will BND an kürzere Leine nehmen, 
www.n24.de 19.01.2016; Leyendecker/ 
Mascolo, Kanzleramt will BND beim 
Abhören bremsen, SZ 19.01.2016, 6). 


Bund 


Diskussion um Leitung 
des Bundesamtes für 
Sicherheit in der Infor- 
mationstechnik (BSI) 


Am 11.12.2015 wurde der bisherige 
Präsident des Bundesamtes für Sicher- 
heit in der Informationstechnik (BSD) 
Michael Hange von Bundesinnenminis- 
ter Thomas de Maiziere wegen Erreichen 
der Altersgrenze in den Ruhestand ver- 
abschiedet. Der Diplom-Mathematiker 
und Kryptologe Hange war 1977 in die 
Bundesverwaltung eingetreten und mit 
der Gründung des BSI im Jahre 1991 in 
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die Sicherheitsbehörde gewechselt, wo 
er die Abteilung leitete, die das Konzept 
für ein IT-Grundschutzhandbuch entwi- 
ckelte. Von 1994 bis 2009 war Hange 
Vizepräsident des BSI, von 2009 bis zum 
November 2015 Präsident der obersten 
deutschen Sicherheitsbehörde. Seit 2011 
war er zudem Sprecher des Nationalen 
Cyber-Abwehrzentrums. Hange war ein 
Garant dafür, dass das BSI mit seinen 
600 Beschäftigten insbesondere aus den 
Bereichen Informatik und Mathematik, 
nachdem es aus dem Bundesnachrich- 
tendienst und damit aus einem Geheim- 
dienst herausgelöst worden war, eine ei- 
genständige zivile Funktion im Interesse 
der Datensicherheit übernahm. Hange 
suchte dabei auch den Austausch und 
die Kooperation mit den Datenschutzbe- 
auftragten des Bundes und der Länder, 
zu deren Tätigkeit es Überschneidungen 
mit dem BSI gibt. Eine enge Zusammen- 
arbeit zwischen dem unabhängigen Da- 
tenschutz und dem beim Bundesinnen- 
ministerium angegliederten BSI ist von 
großer Bedeutung für eine Abstimmung 
zwischen IT-Sicherheit und digitalem 
Grundrechtsschutz. 

Nachfolger Hanges soll nach dem 
Willen des Bundesinnenministeriums 
(BMI) der 46-jährige Betriebswirt Arne 
Schönbohm werden. Dieser ist Sohn 
des CDU-Innenpolitikers und General- 
leutnants a. D. Jörg Schönbohm. Arne 
Schönbohn ist bisher Vorstandsvorsit- 
zender der BuCET Shared Services AG 
(BSS AG), die er mit seinem Bruder 
Hendrik leitet, und Präsident des von 
ihm mit gegründeten Cyber-Sicherheits- 
rates Deutschland. Mit dieser bewusst 
gewollten „externen Lösung“ soll nach 
Darstellung des BMI der Kontakt zwi- 
schen der Wirtschaft und dem BSI inten- 
siviert werden. 

Die Ansage, Schönbohm zum neu- 
en Leiter des BSI zu machen, ist in der 
Behörde selbst auf Irritationen gesto- 
ßen. Es war damit gerechnet worden, 
dass Vizepräsident Andreas Könen die 
Leitung übernehmen würde, so wie sie 
Hange von Udo Helmbrecht übernahm, 
als dieser zur europäischen Sicherheits- 
agentur ENISA wechselte. Könen hat- 
te schon zur Amtszeit von Hange das 
BSI in der Öffentlichkeit oft vertreten. 
Er zeichnet sich durch hohe fachliche 
Kompetenz und durch eine neutrale 
Amtsführung aus. 
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Der FDP-Politiker Schönbohm ar- 
beitete zunächst als Lobbyist für den 
Rüstungskonzern EADS Defence and 
Space. Er wurde mit Überlegungen be- 
kannt, das Funksystem der Sicherheits- 
behörden mit dem (von EADS gelie- 
ferten) Funk-System der Bundeswehr 
zu integrieren, um besser in der Terror- 
Abwehr aufgestellt zu sein. Er zeichnete 
für das Tetra-Desaster (BOSNet) mit- 
verantwortlich. Später gründete er unter 
dem Eindruck der Stuxnet-Attacke im 
August 2012 den Cyber-Sicherheitsrat 
Deutschland e.V., der große und mit- 
telständische Unternehmen in Sachen 
Cyber-Sicherheit berät. Nach eigenen 
Angaben ist er zudem Mitglied im „För- 
derkreis Heer“, einem Lobbyverband 
der Rüstungswirtschaft, und in der 
„Deutschen Gesellschaft für Wehrtech- 
nik“, in dem sich Rüstungsfirmen und 
Abgeordnete vernetzen. Gemäß einem 
von ihm 2011 verfassten Ratgeber für 
„positive Lebensphilosophie“ mit dem 
Titel „Erfolgreicher Weg“ wollte er als 
Kind Bundeskanzler werden. Zitat: „Ich 
gelte jetzt als einer der renommierten 
Sicherheitsberater Deutschlands. Ich 
möchte gern DER renommierte Sicher- 
heitsberater Deutschlands und Europas 
werden.“ Zuletzt hatte er sich dafür stark 
gemacht, dass die Telematik-Infrastruk- 
tur der elektronischen Gesundheitskarte 
für externe Anbieter geöffnet wird. 

Der Verein  „Cybersicherheitsrat 
Deutschland e. V.“, dessen Vorsitzen- 
der Schönbohm seit Sommer 2012 ist, 
vertritt angeblich die Interessen von 
nahezu 2 Millionen Beschäftigten aus 
der Wirtschaft. Die Namenswahl des 
privaten Vereins wurde von offizieller 
Seite als Provokation empfunden, da 
17 Monate zuvor die Bundesregierung 
unter Federführung des BMI einen „Na- 
tionalen Sicherheitsrat“ ins Leben geru- 
fen hatte. Der Verein hat sich zudem die 
Internetdomain „cybersicherheitsrat.de“ 
gesichert und wirbt für sich mit einem 
schwarz-rot-goldenen Vereinslogo. Auf 
der Mitgliederliste des von Schönbohm 
geleiteten Cyber-Sicherheitsrates stehen 
neben TÜV, Commerzbank und einer 
Online-Apotheke vor allem Firmen wie 
IBM, die Waffensparte von EADS und 
IT-Sicherheitsfirmen wie Kaspersky. 
Vertreten wird also die Branche, deren 
Produkte das BSI prüft und zertifiziert. 

Die von Schönbohm geleitete BSS 


AG wirbt für sich, dass sie Unternehmen 
und Behörden in den Bereichen Digita- 
lisierung, Cyber-Sicherheit und Daten- 
schutz berate. Tatsächlich ist Schön- 
bohm im Bereich Datenschutz bis heute 
überhaupt nicht öffentlich in Erschei- 
nung getreten. Das BMI hatte ange- 
kündigt, dass Schönbohm im Fall einer 
Ernennung als BSI-Präsident die Anteile 
an seiner Beratungsfirma verkaufen und 
sich aus dem Cyber-Sicherheitsrat zu- 
rückziehen werde. 

Schönbohm hatte in einem Interview 
2014 gefordert, einen direkt im Kanz- 
leramt angesiedelten „Cyber-Zar‘“ nach 
amerikanischen Vorbild einzuführen. Für 
das Bundesinnenministerium ist Schön- 
bohm ein „kritischer Geist“, der auch öf- 
fentlich eine andere Meinung als die Be- 
hörde vertreten habe. Aus Schönbohms 
Sicht ist Deutschland zu schlecht gegen 
Online-Bedrohungen gerüstet. Er war 
einer der lautesten, nicht der qualifizier- 
testen Gegner des im Sommer 2015 ver- 
abschiedeten IT-Sicherheitsgesetzes, das 
nun vom BSI umgesetzt werden muss. 
So äußerte er gegenüber der Presse: „Ei- 
gentlich ist das Bundesinnenministerium 
mit seinem Kampf gegen Cyberattacken 
gescheitert.“ 

Der netzpolitische Sprecher der Grü- 
nen, Konstantin von Notz sieht in Schön- 
bohm keinen „IT-Experten“, sondern 
einen „IT-Lobbyisten“: „Man wird das 
Gefühl nicht los, dass sich das Bundes- 
innenministerium nicht angeschaut hat, 
wen man da eigentlich an die Spitze set- 
zen will“. Der Cyber-Sicherheitsrat sei 
vor allem ein „Visitenkarten-Institut‘“ mit 
wenig Substanz. Auch der netzpolitische 
Sprecher der SPD-Fraktion, Lars Kling- 
beil, kritisierte die Personalvorauswahl 
des BMI: „Es ist nicht unproblematisch, 
wenn jemand als Verbandsvertreter das 
IT-Sicherheitsgesetz verhindern wollte 
und nun wenige Wochen später als Prä- 
sident des BSI die konkrete Umsetzung 
verantworten soll.“ 

Kritik an der Benennung Schönbohms 
äußerte auch „Netzpolitik.org“. Danach 
sei hier „Kompetenz kein Einstellungs- 
kriterrum“. Schönbohm habe sich mit 
„Cyber-Bullshitting“, hohlem Gerede 
mit technologisch klingenden Phrasen, 
hervorgetan. Die Sprecherin des Chaos 
Computer Clubs (CCC) Konstanze Kurz 
nannte Schönbohm einen „Cyberclown“, 
der Regierungen schon häufiger teure, 
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aber überflüssige IT-Lösungen angedreht 
habe. Der IT-Experte Sandro Gayken er- 
gänzte: „In seinen Interviews und seinem 
Buch käut Schönbohm vorwiegend die 
Thesen anderer wider; seine technische 
Kompetenz geht gegen Null“ (Brühl, Vor- 
würfe gegen designierten BSI-Chef: „Cy- 
ber-Bullshitting‘“ und Lobbyismus, http:// 
www.sueddeutsche.de 22.12.2015, Bor- 
chers, BSI-Chef Hange ist im Ruhestand, 
www.heise.de 14.12.2015; Rosenbach/ 
Schindler, „Eigentlich gescheitert“, Der 
Spiegel 53/2015, 38; „Im Kampf gegen 
Cyberattacken gescheitert“, www.welt. 
de 11.10.2014, Kurz, Neuer BSI-Präsi- 
dent vorgeschlagen: Kompetenz kein 
Einstellungskriterium, www.netzpolitik. 
org 14.12.2015). 

Nach Redaktionsschluss beschloss das 
Bundeskabinett am 17.02., Arne Schön- 
bohm zum BSI-Chef zu machen. Bun- 
desinnenminister Thomas de Maiziere 
ernannte ihn noch am gleichen Tag. Am 
darauf folgenden Tag trat er sein Amt an. 


Bund 


Datenschutz-Verbands- 
klage beschlossen 


Mit den Stimmen der Koalition hat der 
Deutsche Bundestag am 15.12.2015 ein 
Gesetz für neue „verbraucherschützen- 
de Vorschriften des Datenschutzrechts“ 
verabschiedet, mit dem Datenschutz 
zivilrechtlich einfacher durchsetzbar 
werden soll. Verbraucherverbände und 
Wirtschafts- sowie Wettbewerbskam- 
mern sollen damit künftig das Recht er- 
halten, gegen Datenschutzverstöße von 
Firmen zu klagen oder diese abzumah- 
nen. Für das Vorhaben stimmten die Re- 
gierungsfraktionen von CDU/CSU und 
SPD. Linke und Grüne enthielten sich. 

Bislang können Verbraucherschützer 
nur eingeschränkt stellvertretend für 
Betroffene von Datenmissbrauch tätig 
werden, wenn es etwa um unzulässige 
Verträge oder Allgemeine Geschäftsbe- 
dingungen (AGB) geht. Sammelt eine 
Firma ohne ausdrückliche Zustimmung 
der KundenIn oder aufgrund unwirk- 
samer Einwilligungen persönliche In- 
formationen, haben die Verbände noch 
keine zuverlässige Handhabe. Mit dem 
neuen Gesetz sind künftig unerwünschte 
Werbung, das Erstellen von Persönlich- 
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keitsprofilen, Scoring zur Bonitätsprü- 
fung durch Auskunfteien oder Maß- 
nahmen im Adress- und Datenhandel 
gerichtlich besser angreifbar. 

Den Regierungsentwurf vom Februar 
2015 hatte das Parlament noch geändert 
und eingeschränkt. Die Bestimmungen 
sollen nicht anwendbar sein, wenn perso- 
nenbezogene Daten einer Verbraucherln 
ausschließlich zur Geschäftsabwicklung 
erhoben, verarbeitet oder genutzt wer- 
den. Verbraucherschutzverbände müs- 
sen künftig ihre Abmahnpraxis beim 
Bundesamt für Justiz anzeigen. Damit 
soll eine Abzocke mit Anwaltsschreiben 
verhindert werden: Bei Anzeichen von 
Missbrauch soll die Behörde einschrei- 
ten können. Die ParlamentarierInnen 
unterstreichen, dass insbesondere bei 
Verstößen kleinerer Unternehmen zu- 
nächst „kostenlose schriftliche Hinwei- 
se‘ versandt werden könnten. 

SprecherInnen der Union und der 
SPD lobten das Gesetz in der abschlie- 
Benden Lesung als wichtigen Verbrau- 
cherschutz. VertreterInnen der Opposi- 
tion geht der Entwurf nicht weit genug. 
Der Bundesverband Deutsche Startups, 
so Verbandschef Florian Nöll, erwartet 
eine Klagewelle: „Das Verbandskla- 
gerecht schafft eine enorme Zahl von 
privaten Kontrollinstanzen, die das Po- 
tential haben, unsere Startups mit einer 
Klagewelle zu ertränken.“ Der Gesetz- 
geber schaffe damit ein „enormes Büro- 
kratiemonster” (Krempl, Bundestag be- 
schließt Verbandsklagerecht bei Daten- 
missbrauch, www.heise.de 17.12.2015). 


Bund 


Regierungsfraktionen für 
mehr Videoüberwachung 
nach Silvesterübergriffen 


Kurz nach den Silvester-Attacken 
zum Jahreswechsel 2015/2016 vor al- 
lem von nordafrikanischen Männern 
und vor allem in Köln gegenüber Frau- 
en forderten die Regierungsfraktionen 
CDU und SPD mehr Polizei und Video- 
Überwachung. Vor Beginn der CDU- 
Vorstandsklausur in Mainz hat sich 
Bundeskanzlerin Angela Merkel dafür 
ausgesprochen, straffällige Ausländer 
früher als bislang auszuweisen. Bislang 
gilt eine Freiheitsstrafe von zwei bis drei 


Jahren als Richtschnur für eine Auswei- 
sung. „Man verwirkt es früher“, sagte 
Merkel über das Gastrecht in Deutsch- 
land und erhielt dafür lang anhaltenden 
Applaus der Basis. 

CDU und SPD wollen als Konsequenz 
aus den Übergriffen in mehreren Groß- 
städten außerdem die Überwachung von 
öffentlichen Plätzen ausweiten. In einer 
„Mainzer Erklärung“ der CDU heißt 
es, an „Kriminalitätsbrenn- und Gefah- 
renpunkten“ sollten mehr Kameras in- 
stalliert werden. Ähnlich äußerte sich 
SPD-Fraktionschef Thomas Oppermann 
nach einer Klausurtagung seiner Abge- 
ordneten in Berlin. Juristische Beden- 
ken wies Oppermann zurück. Er sei der 
Überzeugung, dass bei Aufzeichnungen 
an Öffentlichen Plätzen das individuelle 
Persönlichkeitsrecht „hinter das öffent- 
liche Interesse zurücktreten muss; das 
hat mit einer Überwachungsgesellschaft 
nichts zu tun“. Da solche Aufnahmen 
in der Regel nach 24 Stunden gelöscht 
würden, handele es sich nicht um einen 
dauerhaften Eingriff in die Rechte ein- 
zelner Personen. 

Bei anderen möglichen Konsequen- 
zen aus den Vorfällen zum Jahreswech- 
sel liegen die Koalitionspartner noch 
auseinander. Die SPD-Fraktion dringt 
vor allem auf mehr PolizistInnen. So 
sollen bis 2019 insgesamt 12.000 neue 
Stellen geschaffen werden, je die Hälfte 
im Bund und in den Ländern. Was Ge- 
setzesänderungen anging, sagte Opper- 
mann: „Ich sehe im Augenblick keinen 
gesetzgeberischen Handlungsbedarf.“ 
SPD-Chef Sigmar Gabriel zeigte sich 
dafür am Rande seiner Kuba-Reise 
offener: „Wenn es nötig ist, Gesetze 
zu ändern, werden wir auch das tun“ 
(Becker/Bauchmiüller/Fried, „Gast- 
recht verwirkt“, www.sueddeutsche. 
de 08.01.2016 = Koalition will Vi- 
deo-Überwachung ausweiten, SZ 
09./10.01.2016, 6). 


Bund 


SPD will Verfassungs- 
schutz beobachten 
lassen 


Die SPD hat sich für eine Beobach- 


tung der AfD durch die Ämter für Ver- 
fassungsschutz ausgesprochen. Nach- 


DANA » Datenschutz Nachrichten 1/2016 


dem die AfD-Chefin Frauke Petry 
sich für Schusswaffengebrauch gegen 
Flüchtlinge an den Grenzen eingesetzt 
hatte, bekräftigte Vizekanzler Sigmar 
Gabriel die Forderung, die rechtspopu- 
listische Partei durch die Ämter für Ver- 
fassungsschutz beobachten zu lassen. 
Außerdem forderte der SPD-Chef, dass 
die AfD von TV-Runden im öffentlich- 
rechtlichen Fernsehen ausgeschlossen 
werden müsse: „Für mich gehört die 
AfD in den Verfassungsschutzbericht 
und nicht ins Fernsehen. Unglaublich, 
dass solche Parteien ihre Parolen jetzt 
in öffentlich-rechtlichen Rundfunksen- 
dern absondern dürfen. Früher galt in 
Deutschland eine klare Regel: Parteien, 
die sich gegen die freiheitlich-demokra- 
tische Grundordnung unseres Landes 
wenden, denen helfen wir nicht noch, 
ihre Propaganda über das Fernsehen zu 
verbreiten.“ 

Gabriel sieht die Partei im Konflikt 
mit dem Grundgesetz: „Bei der AfD 
gibt es massive Zweifel, dass sie auf 
der freiheitlich-demokratischen Grund- 
ordnung der Republik steht. Da geht es 
nicht nur um schräge Forderungen wie 
die Petrys, dass alle Frauen mindestens 
drei Kinder bekommen sollten. Sondern 
die Dame will an der deutschen Grenze 
auf unbewaffnete Flüchtlinge schießen 
lassen.“ Petry sei in Dresden geboren 
und müsse eigentlich wissen, was es hei- 
Be, wenn an einer Grenze auf Menschen 
geschossen wird. Am 08.01.2016 hatte 
schon die SPD-Bundestagsfraktion be- 
schlossen, die AfD müsse wegen ihrer 
gefährlichen rechtsextremen Tendenzen 
beobachtet werden. Die AfD reagierte 
mit einer Einladung: „“Lieber Herr Ga- 
briel, bitte verstecken Sie sich nicht hin- 
ter dem Verfassungsschutz!“ Man lade 
ihn zu den AfD-Sitzungen ein (AfD laut 
Gabriel ein Fall für den Verfassungs- 
schutz, www.zeit.de 31.01.2016; SPD: 
AfD überwachen, SZ 09./10.01.2016, 
8). 


Baden-Württemberg 
Polizei erhält Bodycams 


Wie zuvor andere Bundesländer macht 
nun das grün-rot regierte Baden-Würt- 
temberg den Weg frei für den Test von 
„Bodycams“, also am Körper von Po- 
lizistInnen getragenen Videokameras. 
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Der Einsatz dieser Körperkameras soll 
Gewalt gegen PolizistInnen verhindern 
und abschreckend wirken. Die Maß- 
nahme gehört zu einem Paket, mit dem 
Innenminister Reinhold Gall (SPD) auf 
die Silvester-Vorfälle in Köln reagiert. 
Die BeamtIn, welche die Kamera auf 
der Schulter trägt, hat auf ihrer Weste 
die Aufschrift „Videoaufzeichnung“. Die 
Kamera wird mit Knopfdruck aktiviert, 
so der Bundesvorsitzende der Gewerk- 
schaft der Polizei (GdP) Oliver Malchow, 
„wenn Worte nicht mehr ausreichen“. Er 
sei lange skeptisch gewesen, weil die 
Aufzeichnung ein Eingriff in Bürgerrech- 
te ist. Aber ein Pilotversuch in Frankfurt 
habe ihn überzeugt, wo Übergriffe auf 
PolizistInnen signifikant abgenommen 
hätten. 

Die GDP plädiert für eine deutsch- 
landweite Einführung von Bodycams, 
da überall im Land die Zahl der Über- 
griffe steige. Malchow bezweifelt je- 
doch, dass die Körperkamera dafür ge- 
eignet gewesen wäre, auf dem Kölner 
Domplatz Beweise zu sichern. Doch sei 
die innere Sicherheit in den letzten Jah- 
ren sträflich vernachlässigt worden; die 
Sexualdelikte in der Silvesternacht hätte 
nun eine „Initialzündung“ abgegeben. 
2011 hatte die neue grün-rote Landes- 
regierung in Stuttgart eine nichtnament- 
liche Kennzeichnungspflicht mit Num- 
mern von PolizeibeamtInnen einführen 
wollen. Hintergrund waren die maßlo- 
sen Polizerübergriffe gegen GegnerlIn- 
nen des Bahnprojektes Stuttgart 21, die 
das Vertrauen in die Polizei erschüttert 
hatten. Danach hatte die SPD, die be- 
dacht ist auf ihr Markenzeichen der in- 
neren Sicherheit, diese Maßnahme fünf 
Jahre lang verschleppt. Es wurde zum 
Running Gag, dass die Kretschmann- 
Regierung es zwar nicht zulässt, dass 
die BürgerInnen die Polizei identifiziert, 
wohl aber umgekehrt. Ministerpräsi- 
dent Winfried Kretschmann begründete 
den Bodycam-Vorstoß damit, dass das 
Sicherheitsgefühl der Menschen seit 
der Silvesternacht „beeinträchtigt“ sei. 
In Stuttgart, Mannheim und Freiburg 
soll getestet werden. Die Fraktion der 
Grünen, die lange Zeit datenschutz- 
rechtliche Bedenken hegte, hat in der 
Vorwahlzeit Zustimmung signalisiert. 
Am 13.03.2016 sind Landtagswah- 
len (Kelnberger, Vorsicht Kamera, SZ 
03.02.2016, 1). 


Bayern 


Verfassungsschutz darf 
an TK-Verkehrsvorrats- 
daten ran 


Die Bayerische Landesregierung hat 
am 15.12.2015 den Entwurf eines Lan- 
desgesetzes beschlossen, wonach das 
dortige Landesamt für Verfassungs- 
schutz (LfV) künftig auf Daten aus der 
Vorratsspeicherung von Telekommuni- 
kations- (TK-) Verkehrsdaten zugreifen 
darf. Das im Oktober 2015 vom Bundes- 
tag und am 06.11.2015 vom Bundesrat 
beschlossene Gesetz verpflichtet Tele- 
kommunikationsanbieter, die Festnetz- 
und Mobilverbindungen ihrer KundIn- 
nen für zehn Wochen aufzubewahren. 
Gespeichert wird, wer mit wem, wann, 
wie lange, von wo aus und mit welchem 
Gerät kommuniziert hat. In erster Linie 
sollen die Daten Polizei und Staatsan- 
waltschaft bei der Strafverfolgung hel- 
fen. Bundesinnenminister Thomas de 
Maiziere (CDU) meinte: „Mit dem aus- 
gewogenen Gesetz geben wir unserer 
Polizei ein wichtiges Instrument für die 
Verbrechensbekämpfung“. 

Eine Klausel im Gesetz ermöglicht es 
den Ländern, die Daten auch zur Gefah- 
renabwehr zu nutzen. Innenminister Jo- 
achim Herrmann (CSU) kommentierte: 
„Es kann nicht sein, dass unsere Nach- 
richtendienste weniger wissen als Polizei 
und Strafverfolgungsbehörden“. Er sei 
überzeugt, dass das Gesetz zur Vorrats- 
datenspeicherung „diese Möglichkeit 
jetzt auch für den Verfassungsschutz er- 
öffnet“. Ex-Bundesjustizministerin Sabi- 
ne Leutheusser-Schnarrenberger (FDP) 
kritisierte die Offenheit der rechtlichen 
Bundesregelung: „Jetzt rächt sich die 
Neuauflage der Vorratsdatenspeiche- 
rung“. Das Gesetz enthalte „unklare Re- 
gelungen, die einer totalen Überwachung 
Tür und Tor öffnen“. Herrmann dagegen 
meinte, der Verfassungsschutz gehöre 
auch zu den Gefahrenabwehrbehörden. 
Der bayerische Vorstoß sei keine Durch- 
brechung des Prinzips der Trennung von 
Verfassungsschutz und Polizei, sondern 
gerade dessen Bestätigung, wenn man 
für den Verfassungsschutz eine eigene 
Ermächtigungsgrundlage für den Zugriff 
auf die Daten schaffe. Er zeigte sich über- 
zeugt, dass Bund und Länder Bayern bald 
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folgen werden. Er hatte die Kabinettssit- 
zung geleitet, da Ministerpräsident Horst 
Seehofer abwesend war. 

Im Bundesjustizministerium sieht man 
das ganz anders. Justizminister Heiko 
Maas (SPD) hatte während der Gesetzge- 
bungsprozedur erklärt: „Der Verfassungs- 
schutz ist in dem Gesetz nicht vorgese- 
hen für einen Zugriff nach den Regeln, 
die wir in diesem Gesetz vorschlagen.“ 
Einen ausdrücklichen Ausschluss ent- 
hält das Gesetz aber auch nicht. Über die 
Verwendung der Daten heißt es in dem 
neuen $ 113c des Telekommunikations- 
gesetzes (TKG), dass die gespeicherten 
Daten „an eine Gefahrenabwehrbehörde 
der Länder übermittelt werden, wenn die- 
se die Übermittlung unter Berufung auf 
eine gesetzliche Bestimmung, die ihr die 
eigene Erhebung der Daten zur Abwehr 
einer konkreten Gefahr für Leib Leben 
oder Freiheit einer Person oder für den 
Bestand des Bundes oder eines Landes 
erlaubt, verlangt“. In der Gesetzesbe- 
gründung ist nur die Polizei erwähnt, 
nicht der Verfassungsschutz (Verfas- 
sungsschutz greift auf Verbindungsdaten 
zu, SZ 16.12.2015, 29; Prantl, „Wie eine 
ewige Krankheit“, SZ 18.12.2015, 5). 


Berlin 


Maja Smoltczyk folgt 
Alexander Dix als Daten- 
schutzbeauftragte 


Die Juristin Maja Smoltczyk ist Ber- 
lins neue Datenschutzbeauftragte. Die 
54 Jahre alte bisherige Abteilungslei- 
terin im Abgeordnetenhaus wurde am 
28.01.2016 in namentlicher Abstim- 
mung gewählt. Smoltczyk erhielt 75 Ja- 
und 60 Nein-Stimmen, 9 Abgeordnete 
enthielten sich. Die Opposition hatte 
zuvor noch einen Antrag gestellt, den 
Wahlgang zu verschieben. Das lehnten 
SPD und CDU ab. Smoltzcyk folgt Ale- 
xander Dix nach. Dessen langjährige 
Amtszeit war bereits am 2. Juni 2015 zu 
Ende gegangen. 

Die Fraktionsvorstände von SPD und 
CDU hatten sich nach monatelanger Su- 
che am 12.01.2016 auf diese Personalie 
geeinigt. Smoltezyk war zuvor Leiterin 
der Abteilung Plenum und Ältesten- 
rat sowie des Kulturellen Kuratoriums 
Louise-Schroeder-Medaille im Abge- 


24 


ordnetenhaus, für das sie seit 1994 tätig 
war. Ihre Aufgabe war die Betreuung der 
Ausschüsse und die Sorge, dass Abläufe 
korrekt eingehalten würden und Papiere 
vollständig vorliegen. Nebenberuflich 
arbeitet Smoltczyk als Bildhauerin. Für 
das Abgeordnetenhaus (AGH) schuf 
sie eine Büste des früheren Präsidenten 
Walter Momper (SPD). 

Ein besondere Nähe Smoltczyks zu 
digitalen Themen ist bislang nicht be- 
kannt. Der frühere Piratenpolitiker und 
Berliner Abgeordnete Christopher Lau- 
er twitterte nach ihrer Nominierung: 
„Fängt gut an, die Datenschutzbeauf- 
tragte in spe hat keine Datenschutzer- 
klärung auf ihrer Webseite http://www. 
bildhauerin-berlin.de“. Sein früherer 
Ex-Kollege Martin Delius ergänzte per 
Twitter: „Ich halte Maja Smoltczyk für 
eine sehr gute Mitarbeiterin der AGH- 
Verwaltung. Als Datenschutzbeauftragte 
kann ich sie mir nicht vorstellen.“ 

Berlins langjähriger Datenschutzbe- 
auftragter Dix war auf Bitten des Prä- 
sidiums des Abgeordnetenhauses bis 
zur Regelung seiner Nachfolge im Amt 
geblieben. Er hatte auf einen Kommuni- 
kationsprofi als Nachfolger gehofft. „Ich 
würde mir wünschen, dass er die Diskus- 
sion über das Internet der Dinge und Big 
Data und die entsprechenden Antworten 
des Datenschutzes noch viel stärker in 
die Gesellschaft trägt. Man muss darüber 
nachdenken, wie man das Nicht-Fass- 
bare gegenständlich und sinnlich erfahr- 
bar macht. Da könnten nicht-juristische 
Formen der Thematisierung wie Kunst, 
Comics und andere Formen der Kommu- 
nikation wie Computerspiele und Apps 
eine wichtige Rolle spielen“. 

Als die Absicht der Regierungsfrak- 
tionen bekannt wurde, wandte sich der 
Vorstand der Deutschen Vereinigung für 
Datenschutz e. V. (DVD) mit einem of- 
fenen Brief an die Fraktionen des Abge- 
ordnetenhauses, der hier dokumentiert 
werden soll: 


„sehr geehrte XX, 


die Deutsche Vereinigung für Daten- 
schutz e. V. (DVD) hat zur Kenntnis 
genommen, dass die Regierungsparteien 
im Berliner Abgeordnetenhaus planen, 
am 28.01.2016 als Nachfolgerin von 
Alexander Dix in das Amt der Berliner 
Beauftragten für Datenschutz und Infor- 


mationsfreiheit Frau Maja Smoltczyk zu 
wählen. Dieses Vorhaben ist beim Vor- 
stand der DVD auf seiner Sitzung am 
16.01.2016 in Berlin auf Irritation und 
Besorgnis gestoßen. Dass Kompetenzen 
im Bereich des Datenschutzes und der 
Informationsfreiheit für die Auswahl 
der Kandidatin eine Rolle spielten, ist 
für die DVD nicht erkennbar. Dies stößt 
auf erhebliche Kritik. Art. 33 Abs. 2 GG 
fordert, dass öffentliche Ämter nach 
Eignung, Befähigung und fachlicher 
Leistung zu besetzen sind. 

Es ist verfassungs- und europarecht- 
liche Aufgabe der Datenschutzbeauf- 
tragten, auf der Grundlage besonderer 
technischer und rechtlicher Qualifikati- 
on und einer unabhängigen Stellung in- 
stitutionell digitalen Grundrechtsschutz 
zu gewährleisten. Die Bestellung von 
Datenschutzbeauftragten setzt entspre- 
chende Kenntnisse voraus. Nur so kön- 
nen Datenschutzbeauftragte in Augen- 
höhe mit Behörden und Unternehmen 
kommunizieren und sich mit diesen 
auseinandersetzen. Deswegen muss sich 
die zu bestellende Person im Bereich 
des Datenschutzes und der Informati- 
onsfreiheit schon betätigt haben. Nur so 
ist auch erkennbar, dass und wie diese 
den sich stellenden künftigen Anforde- 
rungen gerecht werden kann. 

Soweit für uns erkennbar, liegen diese 
Voraussetzungen bei der Berliner Kan- 
didatin nicht vor. Damit würde sich eine 
Praxis fortsetzen, die sich nicht nur auf 
Länder-, sondern auch auf Bundesebene 
zu etablieren scheint. Bei der Bestellung 
der Bundesbeauftragten für den Daten- 
schutz und die Informationsfreiheit im 
Dezember 2013 wurde kein Wert auf 
Fachkompetenz gelegt. Sichtbares Er- 
gebnis ist auf Bundesebene, dass die 
Amtsinhaberin ihre Aufgaben nicht wir- 
kungsvoll erfüllt. Dies hat Wirkung für 
die Wahrnehmung der Kontroll- und Be- 
ratungstätigkeit der Bundesbeauftrag- 
ten. Darüber hinausgehend leidet darun- 
ter auch das Ansehen des deutschen Da- 
tenschutzes in Europa und in der Welt. 

Der bisherige Berliner Datenschutz- 
beauftragte Alexander Dix konnte schon 
bei seiner Bestellung internationales 
Renommee als Fachmann in Fragen 
des Datenschutzes und der Informa- 
tionsfreiheit vorweisen. Der Erfolg 
seiner Tätigkeit in Berlin, bundesweit 
wie auch international bestätigte die 
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Richtigkeit dieser Wahl. Alexander Dix 
repräsentierte das Anliegen des digita- 
len Grundrechtsschutzes wie auch den 
institutionellen Datenschutz auf euro- 
päischer und internationaler Ebene in 
hervorragender Weise. Die DVD dankt 
ihm hierfür. Es ist nicht absehbar, dass 
die Lücke, die durch den Weggang von 
Alexander Dix entsteht, mit den jetzigen 
Planungen gefüllt werden kann. 

Der Vorstand der DVD fordert des- 
halb die Koalitionsfraktionen im Berli- 
ner Abgeordnetenhaus auf, ihre Perso- 
nalauswahl zu überdenken. Dabei sollte 
neben fachlicher Kompetenz auch das 
Ziel verfolgt werden, eine größtmögli- 
che Zustimmung im Abgeordnetenhaus 
bei der Bestellung zu erreichen. 

Mit freundlichen Grüßen gez. Frank 
Spaeing Vorsitzender der Deutschen 
Vereinigung für Datenschutz e. V.“ 


Die Berliner Datenschutzbehörde ge- 
hörte bisher zu den Perlen der deutschen 
Datenschutzaufsicht. Ausgestattet mit 
39 Vollzeitstellen ist sie — gemessen an 
der Bevölkerungszahl in den Bundes- 
ländern - eine der größten Datenschutz- 
aufsichtsbehörden Deutschlands. 

Grüne, Linke und Piraten bezweifelten 
nach deren Wahl die fachliche Kompe- 
tenz von Smoltczyk. Die Gewählte ver- 
füge über keine einschlägigen Erfahrun- 
gen in Sachen Datenschutz und Informa- 
tionsfreiheit (Maja Smoltczyk ist Ber- 
lins neue Datenschutzbeauftragte, www. 
berlin.de 28.01.2016; Offener Brief der 
DVD zur Nominierung der Kandidatin 
für die Berliner Beauftragte für Daten- 
schutz und Informationsfreiheit vom 
16.01.2016, www.datenschutzverein. 
de 18.01.2016; Juristin und Bildhauerin 
folgt auf Alexander Dix, www.golem.de 
12.01.2016). 


Schleswig-Holstein 


ULD kritisiert polizeiliche 
Funkzellenabfragen 


Die stellvertretende schleswig-hol- 
steinische Datenschutzbeauftragte und 
Vize-Chefin des Unabhängigen Landes- 
zentrums für Datenschutz (ULD) Bar- 
bara Körffer kritisierte am 11.11.2015 
gegenüber dem Rechtsausschuss des 
Kieler Landtags die Praxis der Funkzel- 
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lenabfragen durch Polizei und Staatsan- 
waltschaften und forderte Korrekturen. 
Es werde vor allem nicht hinreichend 
dargelegt, inwiefern die Abfragen über- 
haupt nötig und verhältnismäßig seien, 
sie mahnte mehr Transparenz an. 

Sie stellte einen Prüfbericht des ULD 
zu Funkzellenabfragen aus den Jahren 
2009 bis 2012 vor, in dem eine Stich- 
probe von zehn Funkzellenabfragen un- 
ter die Lupe genommen wurde. Bei der 
umfangreichsten davon sind allein rund 
7000 Datensätze auf einen Schlag er- 
hoben worden. Funkzellenabfragen er- 
zeugen dem ULD zufolge generell „in 
besonderem Maße eine Gefahr für Unbe- 
teiligte, in die Ermittlungen einbezogen 
zu werden“. Körffer führte aus, dass die 
Polizei damit Informationen bekomme 
über den Ort eines Telefongesprächs, 
verschickte und eingehende SMS sowie 
Internetverbindungen. Dies allein bringe 
aber noch keinen großen Erkenntnisge- 
winn, sodass in der Regel Abgleiche mit 
ähnlichen Abfragen von anderen Tatorten 
oder weiteren Daten etwa über das Poli- 
zeisystem Artus durchgeführt würden. 

Die rechtlichen Voraussetzungen für 
derartige Handy-Rasterungen sind laut 
Körffer recht hoch gehängt. Es müsse 
eine Straftat von „erheblicher Bedeu- 
tung“ vorliegen, was bei den geprüften 
Fällen zugetroffen habe. Das Instrument 
dürfe aber erst genutzt werden, wenn 
Ermittlungen auf andere Weise wenig 
aussichtsreich seien. Diese Vorausset- 
zung sei nicht immer erfüllt gewesen. 
Teils hätten die Fahnder keine Idee ge- 
habt, was sie mit dem Ergebnis anstellen 
sollten. Es seien „vorsorglich Funkzel- 
lendaten gesichert“ worden. Die Daten 
müssten speziell gekennzeichnet wer- 
den, was „nicht immer erkennbar war“. 
Betroffene seien zudem in den meisten 
Fällen nicht benachrichtigt worden, 
nachdem ihre Bestandsdaten ermittelt 
worden seien. Die erhobenen Informa- 
tionen seien anschließend teils auch gar 
nicht gelöscht worden. 

Körffer plädierte dafür, die Daten zu 
entsorgen, wenn diese „gegenwärtig“ 
nicht mehr gebraucht würden. Zudem 
sollte der Gesetzgeber ein „Quick Free- 
ze“ einführen: Bei dem Verfahren wer- 
den die begehrten Informationen beim 
Provider eingefroren und zu einem spä- 
teren Zeitpunkt abgefragt werden, wenn 
dies erforderlich sei. Auch die vom Bun- 


destag kurz zuvor beschlossene vierwö- 
chige Vorratsspeicherung von Standort- 
daten helfe in dieser Hinsicht nicht viel 
und sei kein Ersatz für ein solches ge- 
zieltes Vorgehen. 

Der Landtag hatte die Analyse in Auf- 
trag gegeben, nachdem eine Anfrage der 
Piratenfraktion 2013 ergeben hatte, dass 
nicht einmal jede 20. Funkzellenabfrage 
zu einer Verurteilung geführt hat. Paral- 
lel werden immer mehr Handynutzern in 
Schleswig-Holstein mithilfe des Instru- 
ments überwacht: Während 2012 noch 
256 Funkzellenabfragen erfolgten, wa- 
ren es 2013 schon 441. 2014 schnellte 
die Zahl auf 569 weiter hoch. 

Ein Vertreter des Landesinnenminis- 
teriums erklärte: „Wir sind in der Poli- 
zei unzufrieden mit dem Prüfbericht.“ 
Alle Abfragen seien gerichtlich ange- 
ordnet worden. Zudem habe das ULD 
eine Handlungsweisung aus dem ersten 
Halbjahr 2014 nicht berücksichtigt, mit 
der Schwachstellen abgestellt worden 
seien. Körffer erwiderte, dass dieser 
Erlass nur die Datenverarbeitung der 
Polizei betreffe und den Hinweis auf 
die Kennzeichnungspflicht aufgegriffen 
habe. Die anderen Punkte würden nicht 
erfasst. Es sei allgemein schwierig, den 
Erfolg von Funkzellenabfragen zu mes- 
sen, da diese in der Regel in einem Bün- 
del mit anderen Instrumenten eingesetzt 
würden (Krempl, Schleswig-Holstein: 
Datenschützerin rügt Handy-Rasterfahn- 
dung, www.heise.de 11.11.2015; ULD, 
http://www.landtag.ltsh.de/infothek/ 
wahll8/umdrucke/5000/umdruck- 
18-5038.pdf). 
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Datenschutznachrichten aus dem Ausland 


Europa 


Einigung über Daten- 
schutz-Paket im Trilog 


Vertreter des Europaparlaments, des 
Rates der Europäischen Union (EU) und 
der EU-Kommission haben sich im sog. 
Trilog am 15.12.2015 nach jahrelangem 
Ringen im Rahmen einer Datenschutz- 
reform auf den Text einer Europäischen 
Datenschutz-Grundverordnung (EU-DS- 
GVO) geeinigt, welche die europäische 
Datenschutz-Richtlinie aus dem Jahr 
1995 ablösen soll. Einigung wurde zu- 
dem gefunden über eine Europäische Da- 
tenschutzrichtlinie für Polizei und Justiz. 

Im Vorfeld dieser Einigung gab es hit- 
zige Diskussionen. Gestritten wurde u. 
a. über Mindestalter bei sozialen Netz- 
werke. Kinder und Jugendliche dürfen 
in einigen europäischen Ländern On- 
line-Dienste wie Facebook oder Whats- 
App künftig bis zu einem Alter von 16 
Jahren nur mit Zustimmung ihrer Eltern 
nutzen. In anderen Ländern wird die 
Altersgrenze bei 13 liegen. Lobbyisten 
von US-Technologiefirmen waren, so 
Presseberichte, noch in letzter Minute 
erneut in die Offensive gegangen, um 
geringere Schutzstandards zu erreichen. 

Die Datenschutzbehörden werden 
künftig in einem sog. Kohärenzverfah- 
ren enger zusammenarbeiten, um grenz- 
überschreitende Fälle unter anderem 
mithilfe einer zentralen Kontaktstelle zu 
lösen. Die bisherige Artikel-29-Arbeits- 
gruppe wird zum Europäischen Daten- 
schutzausschuss mit eigener Rechtsper- 
sönlichkeit und der Möglichkeit, Mehr- 
heitsentscheidungen zu treffen. Gegen 
Unternehmen können Strafen von bis 
zu vier Prozent der Jahresumsätze ver- 
hängt werden, wenn sie gegen die Da- 
tenschutzregeln verstoßen. 


Betroffenenrechte 


Die neuen Vorschriften sollen die 
bestehenden Rechte der BürgernInnen 
stärken und diesen mehr Kontrolle über 
ihre Daten geben. Im Mittelpunkt stehen 
folgende Aspekte: 
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- Einfacherer Zugang zu den eigenen 
Daten: Es wird besser über die Art und 
Weise, wie die Daten verarbeitet wer- 
den, informiert. Diese Informationen 
müssen klar und verständlich sein. 
Recht auf Datenübertragbarkeit: Per- 
sonenbezogene Daten können ein- 
facher von einem Anbieter auf einen 
anderen übertragen werden. 

„Rechts auf Vergessenwerden‘“ Wenn 
die Betroffenen nicht möchten, dass 
ihre Daten weiter verarbeitet werden, 
und es keine legitimen Gründe für de- 
ren Speicherung gibt, müssen die Da- 
ten gelöscht werden. 

Breach Notification: Unternehmen 
und Organisationen müssen insbes. 
die nationale Aufsichtsbehörde so 
bald wie möglich über schwere Ver- 
stöße gegen den Datenschutz infor- 
mieren, damit die Nutzer geeignete 
Maßnahmen ergreifen können. 


Hat eine VerbraucherIn ein Problem 
mit einem Anbieter in einem anderen 
EU-Land, soll sie sich künftig in ihrer 
Sprache an die heimische Beschwerde- 
stelle wenden können. 


Vorschriften für Unternehmen 


Wegen der enormen wirtschaftli- 
chen Bedeutung von personenbezoge- 
nen Daten für die heutige digitalisierte 
Wirtschaft, etwa im Bereich der Mas- 
sendaten (Big Data), sollen durch die 
Vereinheitlichung der europäischen Da- 
tenschutznormen neue Geschäftsmög- 
lichkeiten und Chancen für Innovation 
geschaffen werden. 


- Harmonisierung der Regelungen: 
Durch die Verordnung wird ein ein- 
heitliches Regelwerk geschaffen, das 
Unternehmen die Geschäftstätigkeit 
in der EU erleichtern und Kosten spa- 
ren soll. Datenschutz-Oasen soll es in 
Europa nicht mehr geben. 

- One-Stop-Shop: Unternehmen haben 
zumeist nur noch mit einer einzigen 
Aufsichtsbehörde zu tun. Damit sol- 
len pro Jahr ca. 2,3 Mrd. € eingespart 
werden. 


- Marktortprinzip: Unternehmen mit 
Sitz außerhalb Europas müssen diesel- 
ben Regeln befolgen, wenn sie Dienst- 
leistungen in der EU anbieten. 

- Risikobasierter Ansatz: Mit den neuen 
Regeln wird statt einer aufwändigen 
allgemeinen Verpflichtung eine den je- 
weiligen Risiken angepasste Verpflich- 
tung zu Datenschutzvorkehrungen ein- 
geführt. 

- Technischer Datenschutz: Die Verord- 
nung soll gewährleisten, dass die Da- 
tenschutzgarantien von der frühesten 
Entwicklungsphase an in die Produkte 
und Dienstleistungen eingebaut wer- 
den („Datenschutz durch Technik“). 
Datenschutzfreundliche Techniken wie 
Pseudonymisierung werden gefördert, 
um die Vorteile von massendatenbezo- 
genen Innovationen bei gleichzeitigem 
Schutz der Privatsphäre nutzen zu kön- 
nen. 

- Entlastung für kleinere Unternehmen: 
Von der Datenschutzreform sollen 
durch geringere Kosten und weniger 
Verwaltungsaufwand, insbesondere 
für kleine und mittlere Unternehmen 
(KMU), Impulse für das Wirtschafts- 
wachstum ausgehen. Die EU-Daten- 
schutzreform soll KMU dabei helfen, 
in neue Märkte vorzudringen. Nach 
den neuen Vorschriften wird sich der 
Verwaltungsaufwand für KMU in vier 
Punkten reduzieren: 1. Aufhebung der 
Meldepflicht: Mitteilungen an die Auf- 
sichtsbehörden sind eine Formalität, 
die bei den Unternehmen jedes Jahr 
angeblich mit 130 Mio. € zu Buche 
schlägt. Die Meldepflicht wird durch 
die Reform vollständig beseitigt. 2. 
Gebühren: Wenn Anträge auf Zugang 
zu den Daten offensichtlich unbegrün- 
det oder unverhältnismäßig sind, kön- 
nen KMU in Zukunft Gebühren für die 
Bereitstellung des Zugangs verlangen. 
3. Datenschutzbeauftragte: KMU sind 
nicht verpflichtet, einen Datenschutz- 
beauftragten zu ernennen, es sei denn, 
die Datenverarbeitung ist ihr Kernge- 
schäft. 4. Folgenabschätzung: KMU 
sind nicht verpflichtet, eine Folgenab- 
schätzung durchzuführen, es sei denn, 
es besteht ein hohes Risiko. 
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Datenschutzrichtlinie für Polizei und 
Justiz 


Mit einer neuen Datenschutzricht- 
linie für Polizei und Strafjustiz sollen 
die Strafverfolgungsbehörden in den 
Mitgliedstaaten ermittlungsrelevante 
Informationen effizienter und wirk- 
samer austauschen und besser bei der 
Bekämpfung von Terrorismus und 
sonstiger schwerer Kriminalität in Eu- 
ropa zusammenarbeiten können (dazu 
ausführlich obiger Beitrag auf S. 8). 
Sie hat den Anspruch, die unterschied- 
lichen Rechtstraditionen der Mitglied- 
staaten zu respektieren und soll voll 
und ganz im Einklang mit der Charta 
der Grundrechte stehen. 

Personenbezogene Daten sollen bes- 
ser geschützt werden, wenn sie für 
Zwecke der Strafverfolgung verarbei- 
tet werden, wozu auch die Kriminali- 
tätsprävention gehört. Der Schutz gilt 
für jedermann — unabhängig davon, ob 
es sich um ein Opfer, einen Straftäter 
oder Zeugen handelt. Die Datenver- 
arbeitung in den Polizeibehörden und 
Staatsanwaltschaften der Union muss 
den Grundsätzen der Notwendigkeit, 
Verhältnismäßigkeit und Rechtmäßig- 
keit genügen und mit angemessenen 
Vorkehrungen zum Schutz des Indivi- 
duums einhergehen. Sie unterliegt der 
Aufsicht durch unabhängige nationale 
Datenschutzbehörden, und es muss für 
einen wirksamen Rechtsschutz gesorgt 
werden. Die Richtlinie für den Da- 
tenschutz bei Polizei und Strafjustiz 
enthält Regeln für den Transfer perso- 
nenbezogener Daten aus der EU, um 
zu gewährleisten, dass der in der EU 
dem Einzelnen garantierte Datenschutz 
nicht ausgehöhlt wird. 


Kommentare 


Andrus Ansip, Vizepräsident für den 
digitalen Binnenmarkt, kommentierte 
die Einigung: „Mit der heutigen Eini- 
gung sind wir dem digitalen Binnen- 
markt ein gutes Stück näher gekommen. 
Dank solider gemeinsamer Standards 
für den Datenschutz können unsere Bür- 
gerinnen und Bürger sicher sein, dass sie 
die Kontrolle über ihre personenbezo- 
genen Daten behalten. Und sie können 
alle Dienstleistungen und Chancen ei- 
nes digitalen Binnenmarkts nutzen. Wir 
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sollten den Schutz der Privatsphäre und 
den Datenschutz nicht als Hemmschuh 
für wirtschaftliches Handeln begreifen. 
Im Gegenteil: Sie sind ein wesentlicher 
Wettbewerbsvorteil. Als nächstes gilt 
es, ungerechtfertigte Hemmnisse zu be- 
seitigen, die den grenzüberschreitenden 
Datenfluss beschränken, wie örtliche 
Gepflogenheiten und bisweilen natio- 
nales Recht, die die Speicherung und 
die Verarbeitung bestimmter Daten au- 
ßerhalb des nationalen Hoheitsgebiets 
begrenzen. 

Die EU-Kommissarin für Justiz, Ver- 
braucher und Gleichstellung, V£ra Jou- 
rova ergänzte: „Heute haben wir das 
Versprechen der Juncker-Kommission 
eingelöst, dass wir die Datenschutzre- 
form 2015 abschließen werden. Har- 
monisierte Datenschutzvorschriften 
für die Polizei- und Strafverfolgungs- 
behörden werden die Zusammenarbeit 
der Mitgliedstaaten bei der Strafverfol- 
gung auf der Grundlage gegenseitigen 
Vertrauens erleichtern und so einen 
Beitrag zur europäischen Sicherheitsa- 
genda leisten.“ 

Der EU-Parlamentarier Axel Voss von 
der CDU warnte vor negativen Folgen 
für die Wirtschaft: „Wir müssen aufpas- 
sen, dass dies am Ende nicht ein Hemm- 
schuh für die europäische Industrie und 
Forschung wird.“ 


Nächste Schritte 


Im Anschluss an die im Trilog erzielte 
politische Einigung sollen die Texte in 
ihrer endgültigen Fassung Anfang 2016 
vom Europäischen Parlament und vom 
EU-Rat förmlich angenommen werden. 
Zwei Jahre danach ist das Inkrafttreten 
der neuen Vorschriften vorgesehen. 

Die Kommission will eng mit den Da- 
tenschutzbehörden der Mitgliedstaaten 
zusammenarbeiten, um eine einheitliche 
Anwendung der neuen Vorschriften zu 
gewährleisten. Während der zweijähri- 
gen Übergangsphase wird die Kommis- 
sion die Bürgerinnen und Bürger über 
ihre Rechte und die Unternehmen über 
ihre Pflichten informieren (EU-Kom- 
mission, Einigung über die EU-Daten- 
schutzreform der Kommission wird di- 
gitalen Binnenmarkt voranbringen, PE 
15.12.2015; Neue EU-Datenschutzre- 
geln: Facebook erst ab 16 Jahren, www. 
heise.de 16.12.2015). 


Europa 


Europol fordert Daten- 
austausch über Internet- 
Überwachung 


Die europäische Polizeibehörde (Eu- 
ropol) verlangt für sein neues „Hinweis- 
zentrum“ zur Internetüberwachung neue 
Befugnisse, um bei Betreibern sozialer 
Netzwerke Auskunft z. B. über verschie- 
dene mit einer IP-Adresse verknüpfte 
Konten zu erhalten. Das Zentrum hat im 
Sommer 2015 seine Arbeit aufgenom- 
men. Es müsse nicht nur selbst erhobene 
persönliche Daten an private Parteien 
weiterleiten dürfen, sondern auch von 
diesen Informationen bekommen kön- 
nen, heißt es in einem Papier der luxem- 
burgischen EU-Ratspräsidentschaft von 
Ende September 2015. Um insbesonde- 
re terroristische Bedrohungen ausma- 
chen zu können, sei ein „Dialog“ unver- 
zichtbar. 

Im Kern geht es der europäischen 
Polizeibehörde um einen Auskunfts- 
anspruch für Bestands- und Nutzungs- 
daten vor allem bei Betreibern sozialer 
Netzwerke. Facebook etwa müsse bei 
einen Hinweis von Europol verpflich- 
tet sein, die FahnderInnen über weitere 
Konten und Profile aufzuklären, die eine 
mit einer bestimmten IP-Adresse ver- 
knüpfte Person habe. 

Für andere Diensteanbieter sollten 
demnach gleiche Anforderungen gelten, 
da diese generell einen „guten Über- 
blick über die Aktivitäten ihrer Kun- 
den auf ihrer eigenen Plattform“ hätten. 
Aber auch Daten, die Internetfirmen 
unter anderem mithilfe von Cookies 
und anderen Trackingverfahren über 
die Surfgewohnheiten ihrer Nutzenden 
auf anderen Portalen sammeln, stehen 
auf der Wunschliste der Strafverfolger. 
Ein Praxisbeispiel im Schreiben dreht 
sich um Facebook: Nach Ansicht der 
Polizeibehörde müsse das Netzwerk 
in der Position sein, auf eine Europol- 
Anfrage reagieren zu können, wenn das 
Netzwerk wisse, dass von der gleichen 
IP-Adresse aus oder von der gleichen 
Person weitere Accounts betrieben wer- 
den, die Europol bislang nicht entdeckt 
hat. Weiter heißt es: „Dasselbe gilt für 
andere Dienstanbieter, die allgemein ei- 
nen sehr guten Überblick über die Nut- 
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zeraktivität auf ihrer eigenen Plattform 
haben.“ 

Die Ratsspitze hat sich bereits hinter 
Europols Wunsch gestellt und einen Än- 
derungsantrag für die laufende Reform 
der Europol-Verordnung in die Verhand- 
lungen mit dem EU-Parlament und der 
EU-Kommission eingebracht, obwohl 
den europäischen Fahndern eigentlich 
keine „operativen Befugnisse“ zuste- 
hen. Der angemahnte „Datenaustausch“ 
dürfte demnach in „spezifischen Fällen“ 
erfolgen, solange dem nicht die Grund- 
rechte der Betroffenen entgegenstünden. 
Verhandlungsführer der Abgeordneten 
sehen den Antrag zwar noch skeptisch, 
doch viele Mitgliedsstaaten dürften hin- 
ter dem Luxemburger Vorschlag stehen. 

Die Bundesregierung begrüßt die vor- 
gesehene „Kooperation“ der „Internet 
Referal Unit“ (IRU) Europols mit den 
beteiligten EU-Ländern und der Inter- 
netwirtschaft grundsätzlich genauso wie 
den Änderungsvorschlag der Ratsprä- 
sidentschaft. Mitgliedsstaaten könnten 
über eine nationale Kontaktstelle wie 
das Bundeskriminalamt (BKA) dem 
Hinweiszentrum themenspezifische In- 
ternetinhalte vor allem zu terroristischer 
Propaganda melden, so eine Antwort des 
Bundesinnenministeriums auf eine An- 
frage der Linksfraktion des Bundestags. 
Die IRU könne aber auch selbst Online- 
Kommunikation „identifizieren“. 

Wenn ein Bezug zu weiteren EU-Län- 
dern ersichtlich ist, solle das Europol- 
Zentrum deren Kontaktstellen informie- 
ren und „um Rückmeldung bitten, ob die 
Meldung an den betroffenen Internetdien- 
steanbieter erfolgen kann“. Wenn dem 
nicht widersprochen werde, könnten sich 
die Den Haager FahnderInnen direkt an 
den Diensteanbieter wenden. Auch könne 
Europol personenbezogene Daten aus öf- 
fentlich zugänglichen Quellen einschließ- 
lich „kommerzieller Informationsanbie- 
ter“ direkt einholen und verarbeiten. 

Die Arbeit der IRU muss sich laut 
Bundesregierung nicht auf die zunächst 
vorgesehenen Terrorismushinweise be- 
schränken. Vielmehr könnten auch „Straf- 
taten im Bereich des gewaltbereiten Ex- 
tremismus in die Zuständigkeit“ fallen, 
was Phänomene wie Hasskommentare, 
Online-Hetze oder Fremdenfeindlichkeit 
nicht ausschließe. Dies müsse aber einzeln 
geprüft werden. Auf die Frage, ob zudem 
„Schleusungskriminalität“ einbezogen 
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werden sollte, antwortete das Innenminis- 
terium: Es sei eine Formulierung in der 
neuen Europol-Verordnung zu finden, die 
es der Hinweisstelle erlaube, „flexibel auf 
veränderte Anforderungen zu reagieren“. 

Europol hatte gemeinsam mit der inter- 
nationalen Polizeiorganisation Interpol 
Mitte Oktober 2015 bereits ein Forum 
durchgeführt, um „Fluchthilfe-Netzwer- 
ke“ besser bekämpfen zu können. Betei- 
ligt war neben zahlreichen Ländern und 
Organisationen auch die US-Firma Wes- 
tern Union. Mit Daten des Bargeldtrans- 
fer-Anbieters könnten die Strafverfolger 
etwa ermitteln wollen, an wen Geflüch- 
tete Finanzmittel überwiesen haben. Ein 
Vertreter von Twitter klärte die Forums- 
teilnehmenden zudem über die Nutzung 
des Internets „als Mittel der Kommunika- 
tion zwischen Fluchthelfern und Flücht- 
lingen“ auf. 

Mit dem Projekt „Check the Web“, 
das hauptsächlich auf das BKA zurück- 
geht, hat sich Europol bereits seit 2007 
ähnlich ausgerichtet wie die IRU. Die 
Behörde gleiche die mit der neuen Hin- 
weisstelle identifizierten Inhalte mit die- 
sem älteren „Auswerteschwerpunkt“ ab, 
so die Bundesregierung. Geplant sei, be- 
reits bekannte Bezüge festzustellen und 
beide Einheiten zu verknüpfen. 

Laut dem Bundestagsabgeordneten 
Andrej Hunko von den Linken sollen 
die beiden Projekte zusammen etwa mit 
Abteilungen zum Austausch von Finanz- 
oder Fluggastdaten mit den USA in ein 
„Europäisches Zentrum zur Terroris- 
musbekämpfung‘ bei Europol integriert 
werden. Jede weitere Kompetenzüber- 
tragung zu einer Daten-Superbehörde sei 
„ein Schritt zur Entdemokratisierung‘“, 
da die ständig wachsenden Befugnisse 
kaum mehr kontrolliert werden könnten 
(Krempl, Internetüberwachung: Europol 
will an Daten von Facebook und Twit- 
ter, www.heise.de 10.11.2015; Europol 
will mehr Rechte für die Internetüber- 
wachung, www.spiegel.de 09.11.2015). 


Europa 
EU-Rat fordert neue 


Initiative zu TK-Vorrats- 
datenspeicherung 


Eine Mehrheit der Delegationen im 
Rat der Europäischen Union (EU) hat 


die EU-Kommission aufgefordert, eine 
neue Initiative zum anlasslosen Pro- 
tokollieren von Telekommunikations- 
Nutzungsspuren zu starten. In ihren 
Ländern halten sie das Instrument weiter 
für zulässig. Sämtliche EU-Mitglieds- 
staaten sehen sich durch das Urteil des 
Europäischen Gerichtshofs (EuGH) 
vom 08.04.2014 (C-293/12, C-594/14), 
mit dem die EU-Richtlinie zur Vorrats- 
speicherung von Telekommunikations- 
(TK-) Daten (RL 2006/24/EG) aufge- 
hoben wurde, nicht an einer nationalen 
Regelung gehindert. Sie waren sich bei 
einem Ratstreffen der Justiz- und Innen- 
minister am 05.12.2015 in Brüssel einig, 
dass Verbindungs- und Standortdaten 
weiter „massenhaft“ in „allgemeiner 
Form“ aufbewahrt und Strafverfolgern 
zugänglich gemacht werden dürften. 

Die Mehrheit der nationalen Regie- 
rungen hält es demnach auch für nötig, 
wieder eine EU-weite Grundlage zum 
anlasslosen Protokollieren von Nutzer- 
spuren zu schaffen, damit dies nicht 
weiter „fragmenthaft“ geschieht. Die 
Mehrheit der Mitgliedsstaaten appel- 
lierte deshalb an die EU-Kommission, 
ein neues Gesetz auf den Weg zu brin- 
gen. Die EU-Staatsanwaltschaft Euro- 
just und der von der luxemburgischen 
Präsidentschaft angehörte „Experte“ 
hatten vor der Ratssitzung betont, die 
Effizienz der Strafverfolgung auf na- 
tionaler Ebene werde durch die Frag- 
mentierung beeinflusst. Es gebe etwa 
Probleme, Telekommunikationsdaten 
als Beweismittel vor Gericht heranzu- 
ziehen sowie bei der grenzüberschrei- 
tenden Justizkooperation. 

Der EuGH hatte die frühere Richtli- 
nie zur TK-Vorratsdatenspeicherung für 
nichtig erklärt und angezweifelt, ob eine 
anlasslose Datensammlung und Massen- 
überwachung überhaupt mit der Grund- 
rechtecharta vereinbar sei. Die Rich- 
ter warnten, dass damit „sehr genaue 
Schlüsse auf das Privatleben“ Betroffe- 
ner gezogen werden könnten. Im März 
2015 hatte Martin Selmayr, Kabinetts- 
Chef von Präsident Jean-Claude Juncker, 
hervorgehoben, dass die EU-Kommissi- 
on keinen neuen Gesetzesvorschlag pla- 
ne. Jeder Mitgliedsstaat sei hier auf sich 
selbst gestellt. Seitdem hat sich an dieser 
Front wenig getan. Binnenmarktkom- 
missarin Elzbieta Bienkowska kritisierte 
vielmehr den deutschen Entwurf des in- 
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zwischen verabschiedeten Gesetzes zur 
TK-Vorratsdatenspeicherung (Krempl, 
EU-Staaten verlangen neuen Anlauf zur 
Vorratsdatenspeicherung, www.heise.de 
08.12.2015). 


Frankreich 


Regierung verstetigt Not- 
stands-Sicherheitsgesetz 


Die französische Regierung hat am 
03.02.2016 einen Gesetzentwurf be- 
schlossen mit dem der seit November 
2016 geltende Ausnahmezustand zur 
Bekämpfung des islamistischen Ter- 
rorismus neuerlich verlängert werden 
soll. Neben schnelleren Festnahmemög- 
lichkeiten sieht der Entwurf Abhörmaß- 
nahmen und Kontrollen von Reisenden 
ohne richterliche Überprüfung vor. Das 
Gesetz bestätigt Notstandsbefugnisse, 
die bisher nur bis Ende Mai 2016 zuläs- 
sig wären. Die Regierung will die neuen 
Regeln noch vor der im Juni stattfinden- 
den Fußball-Europameisterschaft durch 
das Parlament bringen. 

Der Entwurf sieht vor, dass bei mut- 
maßlicher Terrorgefahr allein auf Ba- 
sis einer Anordnung eines Präfekten, 
also des höchsten Vertreters der Zent- 
ralregierung in den Departements und 
Regionen, Hausdurchsuchungen, die 
Kontrolle von Autos oder des Gepäcks 
von Reisenden an Bahnhöfen veranlasst 
werden können. Der Einsatz moderner 
Abhörtechnik wie z. B. des sog. IMSI- 
Catchers, mit denen im räumlichen Um- 
feld von Verdächtigen sämtliche Handy- 
gespräche, E-Mails und sonstige elekt- 
ronische Mobilkommunikation abge- 
fangen werden kann, soll künftig durch 
jeden Staatsanwalt angeordnet werden 
können. Bisher war dies ein Privileg 
der von Weisungen der Regierung un- 
abhängigen Untersuchungsrichter. Eine 
Regelung zum Schusswaffengebrauch 
würde PolizistInnen und GendarmInnen 
per Generalklausel unmittelbar nach 
Mordtaten erlauben, z. B. flüchtende 
GewalttäterInnen gezielt unter Feuer zu 
nehmen. 

Die Sicherheitsbehörden zählen in 
Frankreich Anfang 2016 8520 „radika- 
lisierte Personen“, was gegenüber März 
2015 mehr als eine Verdoppelung ist. 
Besonders viele Verdächtige werden im 
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Großraum Paris und im Südosten des 
Landes lokalisiert, wo überdurchschnitt- 
lich viele Nachkommen von Einwan- 
dernden aus dem Maghreb leben. Die 
Regierung schätzte, dass 605 Menschen 
aus Frankreich sich im Irak und in Syri- 
en als „freiwillige Kämpfende“ verdingt 
haben. 738 weitere zumeist junge Män- 
ner wollten in die Kriegsgebiete aufbre- 
chen, 275 seien 2015 vor der Ausreise 
gestoppt worden. Das neue Gesetz sieht 
vor, Rückkehrer aus Syrien präventiv 
auch dann unter Hausarrest zu stellen, 
wenn keine konkreten Beweise gegen 
die verdächtige Person vorliegen. 

Premierminister Manuel Valls erklär- 
te, die Terrorgefahr in Frankreich sei „so 
hoch wie nie zuvor“. Deshalb hatte die 
Regierung eine erneute Verlängerung 
des Notstands um 3 Monate bis Ende 
Mai 2016 beantragt. Menschenrechts- 
organisationen und Richterverbände 
warnen, die neuen Regelungen bedroh- 
ten Grundrechte und schwächten die 
richterliche Kontrolle von Polizei und 
Geheimdiensten. Der Generalsekretär 
des Europa-Rats, der Norweger Thor- 
bjorn Jagland, hatte im Januar 2016 in 
einem Schreiben an Staatspräsident 
Francois Hollande den Respekt für 
„fundamentale Freiheiten“ angemahnt 
(Wernicke, Normalzustand Ausnahme, 
SZ 04.02.2016, 6). 


Frankreich 


Geheimdienstgesetz 
durchgewunken 


Der französische Geheimdienst will 
Seekabel oder Internetknotenpunkte 
praktisch ohne Einschränkungen anzap- 
fen. Der französische Senat hat noch vor 
den Terroranschlägen im November in 
der Nacht vom 27. auf den 28.10.2015 
zwei nachträgliche Ergänzungen eines 
im Juni verabschiedeten Überwachungs- 
gesetzes verabschiedet, die Frankreichs 
Geheimdienst weitreichenden Zugriff 
auf internationale Datenströme ermög- 
lichen. Bevor die Gesetzesänderung in 
Kraft treten kann, müssen sich der Senat 
und die Nationalversammlung als zwei- 
te Kammer des Parlaments noch auf 
eine gemeinsame Version verständigen. 

Die zwei Klauseln hatte der Verfas- 
sungsrat für nicht verfassungskonform 


erklärt und aus dem ursprünglichen 
Gesetzentwurf gestrichen. Mit der Neu- 
vorlage als Gesetzesänderung aus dem 
Parlament enthebt sich die Regierung 
der Pflicht, den Vorschlag erneut dem 
Verfassungsrat vorzulegen. 

In einer Nachtsitzung hatte Bericht- 
erstatter Philippe Bas, unterstützt vom 
Vertreter des französischen Verteidi- 
gungsministeriums, die beiden knappen 
Paragraphen durch die Abstimmung 
gebracht. Abgefischte Kommunikation 
zwischen FranzosInnen solle gelöscht 
werden, versichert Bas. Bei „gemisch- 
ten Datensätzen“ werde die laut dem 
neuen Gesetz einzurichtende Kontroll- 
kommission CNCTR aktiv. 

Kritiker halten die Schutzvorkehrun- 
gen im Gesetz für völlig unzureichend. 
Französische BürgerInnen, die ihre 
Kommunikation über ausländische Ser- 
ver abwickeln, seien nicht geschützt, 
kritisiert etwa die Organisation La Qua- 
drature du Net. Ein besonderer Schutz 
für JournalistInnen, AnwältInnen oder 
Priester, die im Ausland arbeiten oder 
auch nur auf Reisen sind, sei überdies 
nicht möglich, meint der sozialistische 
Verteidigungsminister Jean-Yves Le 
Drian. Eine Journalistengruppe hat be- 
reits Klage gegen das im Juni 2015 ver- 
abschiedete Gesetz beim Europäischen 
Gerichtshof für Menschenrechte einge- 
legt (Ermert, Frankreichs Senat winkt 
Carte Blanche für Geheimdienst durch, 
www.heise.de 28.10.2015). 


Belgien 


Gericht verbietet Cookie — 
Facebook geifert zurück 


Knapp einen Monat nachdem es Fa- 
cebook von einem belgischen Gericht in 
Brüssel am 09.11.2015 untersagt wurde, 
Daten über Nicht-Mitglieder zu sam- 
meln, hat das Netzwerk angekündigt, 
diese fortan auszusperren. Nicht-Mit- 
glieder könnten nicht länger auf öffent- 
liche Facebook-Seiten, sog. Fanpages, 
von Unternehmen oder Organisationen 
zugreifen. Das sei die einzige Möglich- 
keit, Sicherheit zu gewährleisten. Au- 
Berdem wolle das Unternehmen auf das 
zuvor kritisierte „datr‘“-Cookie verzich- 
ten. Bislang gilt diese Maßnahme nur in 
Belgien, aber andere Länder dürften das 
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aufmerksam beobachten. Bei dem vor 
dem deutschen Bundesverwaltungsge- 
richt anhängigen Verfahren zur Untersa- 
gung von Facebook-Fanpages durch das 
Unabhängige Landeszentrum für Daten- 
schutz Schleswig-Holstein (ULD) geht 
es auch um die Profilierungsmöglichkeit 
mithilfe dieses Cookies. Die Rechts- 
grundlagen der belgischen Entschei- 
dung gehen letztlich auf europäisches 
Recht zurück. Die Datenschutzbehörden 
stören sich daran, dass der Cookie für 
zwei Jahre auf dem Computer bleibt, 
z. B. auch wenn eine Nutzerln ihr Face- 
book-Konto deaktiviert. 

Das belgische Gericht hatte entschie- 
den, dass Facebook keine Daten von 
Nicht-Mitgliedern sammeln dürfe. Per- 
sonenbezogene Daten dürften nur nach 
eindeutiger Zustimmung der Betroffe- 
nen aufgezeichnet werden. Wenn Face- 
book nicht innerhalb von 48 Stunden 
reagiere, werde eine Strafe in Höhe von 
250.000 Euro pro Tag fällig. Das Ge- 
richt störte sich vor allem an dem „‚datr“- 
Cookie, das Informationen über alle 
Besuchenden von Seiten auf Facebook 
oder anderen Seiten mit einem „Like“- 
Button sammelt. Auch Nicht-Mitglieder 
bekommen das Cookie installiert. Dank 
der Facebook-Buttons auf anderen Sei- 
ten können die Betreiber des Netzwerks 
so auch Nicht-Mitglieder auf ihrem Weg 
durchs Netz verfolgen. Der Sicherheits- 
chef von Facebook Alex Stamos recht- 
fertigte das „datr“-Cookie mit der Not- 
wendigkeit falsche Profile herauszufil- 
tern und Cyber-Attacken zu verhindern. 
Wenn etwa ein Web-Browser binnen 5 
Minuten hundert Seiten besuche, sei 
das ein klares Zeichen dafür, dass der 
Computer wohl von Online-Kriminellen 
gekapert worden sei. Die Daten, die das 
Cookie sammele, würden nicht einzel- 
nen Personen zugeschrieben und könn- 
ten auch nicht mit ihnen in Verbindung 
gebracht werden. 

Willem Debeuckelaere, der Chef der 
belgischen Datenschutzbehörde, zeigte 
sich verärgert über Facebooks Reaktion 
auf das Gerichtsurteil: „Wir haben ver- 
langt, dass sie aufhören, Nicht-Mitglie- 
der zu verfolgen. Punkt.“ Stattdessen 
sehe es danach aus, dass Facebook ein 
Spiel spiele, um die Datenschützer in die 
Ecke zu drängen und als die Bösen dar- 
zustellen, die Informationen blockierten. 
Das Verhalten grenze an Erpressung. 
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Facebook wehrte sich gegen diesen Vor- 
wurf mit der Behauptung, es gebe keine 
andere Möglichkeit, als den Zugang zu 
sperren (Holland, Belgien: Facebook 
blockiert für Nicht-Mitglieder, www. 
heise.de 03.12.2015; Belgisches 
Gericht: Facebook darf keine Daten 
von Nicht-Mitgliedern sammeln, www. 
heise.de 09.11.2015). 


Großbritannien 


Sexuell aktive verdeckte 
Ermittler 


Verdeckte Ermittler von Scotland 
Yard sind im Zuge ihrer Ermittlungen 
sexuelle Beziehungen zu Frauen einge- 
gangen. Die Polizeibehörde entschul- 
digte sich am 20.11.2015 für das „kom- 
plett inakzeptable“ Verhalten einiger 
ihrer Mitarbeiter. Sie hätten versucht, 
in Protestgruppen hineinzukommen, 
indem sie intime Beziehungen zu weib- 
lichen Mitgliedern eingegangen seien. 
Diese sexuellen Beziehungen seien „be- 
leidigend, hinterlistig, manipulativ und 
falsch“ gewesen. Die Entschuldigung 
war Teil einer außergerichtlichen Eini- 
gung mit sieben Frauen (Hinterlistige 
Ermittler, SZ 21./22.11.2015, 12). 


Großbritannien 


Geheimdienste erhalten 
mehr Befugnisse zur In- 
ternetüberwachung 


Die britische Innenministerin Theresa 
May stellte am 04.11.2015 eine Geset- 
zesinitiative im Parlament vor, mit der 
eine Vorratsspeicherung von Telekom- 
munikationsdaten noch umfassender 
ausfallen würde als die bisherige Re- 
gelung des „Data Retention and Inves- 
tigatory Powers Act“ (DRIPA), die der 
britische High Court am 17.07.2015 
wegen mangelnder Bestimmtheit für 
unzulässig erklärte und nur noch über- 
gangsweise in Kraft ließ. Die Regie- 
rung in London will Provider nun dazu 
verpflichten, neben den gängigerweise 
eingeschlossenen Verbindungs- und 
Standortdaten auch Inhalte anlasslos 
zu speichern. Die Zugangsanbieter sol- 
len ferner Informationen über besuchte 


Webseiten sowie die E-Mail- oder die 
Chat-Kommunikation ein Jahr auf Vor- 
rat einlagern müssen. Das Ministerium 
wies darauf hin, dass nicht die komplet- 
te Browser-Historie gespeichert werden 
soll, obwohl die Geheimdienste genau 
dies gefordert hatten. 

Es war wohl kein Zufall, dass kurz vor 
der Präsentation des Gesetzentwurfes 
der britische Geheimdienst Government 
Communications Headquarters (GCHQ) 
Just zum Start des Bond-Films „Spectre“ 
eine PR-Offensive startete und erstmals 
JournalistInnen Zugang zum Haupt- 
quartier in Cheltenham gewährte. 

2014 hatte die damalige konservativ- 
liberale Koalition unter Premierminister 
David Cameron nach dem Urteil des 
Europäischen Gerichtshofs (EuGH) 
zur Vorratsdatenspeicherung vom 
08.04.2014 zunächst ein „Notstands- 
gesetz“ zur Vorratsdatenspeicherung 
verabschiedet und später eine dauer- 
hafte Lösung angedeutet, mit der auch 
Verschlüsselung umgangen werden soll. 
Das Gesetz sorgte nicht nur dafür, das 
die vom EuGH gekippte Vorratsdaten- 
speicherung beibehalten wurde, sondern 
führte bereits die Überwachungsersu- 
chen an ausländische Unternehmen ein. 
Damals war festgelegt worden, dass die 
Regelung im Jahr 2016 ausläuft. Nach 
den Neuwahlen im Mai 2015 kündigte 
Königin Elisabeth II. einen entsprechen- 
den Vorstoß an, ohne Details für die 
„Snoopers‘ Charter“ zu nennen. 

Der High Court hatte im Juli unter an- 
derem gerügt, dass Polizeien, Geheim- 
dienste und andere Behörden bislang 
ohne Richtergenehmigung auf die Daten 
zugreifen dürften. Hier will die Regie- 
rung nachbessern. 

Selbst erzkonservativen Politikern 
wie dem früheren Staatsminister Da- 
vid Davis geht der neue Vorstoß gene- 
rell zu weit. Ihm zufolge gibt es keine 
Nachweise dafür, dass die begehrten 
Telekommunikationsdaten ein Jahr lang 
im Interesse der Strafverfolgung auf- 
bewahrt werden müssen. Der Liberale 
Nick Clegg, der als Camerons Vize eine 
Vorratsdatenspeicherung einschließ- 
lich von Kommunikationsinhalten noch 
verhindert hatte und mittlerweile nicht 
mehr in der Regierung sitzt, hatte jüngst 
gewarnt, dass Großbritannien mit einer 
massiven Datenbank zu den Browsing-, 
Mail- und Chatgewohnheiten der Nut- 
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zenden viel zu tief in deren Grundrechte 
einschneiden und einen „besorgniserre- 
genden internationalen Präzedenzfall“ 
schaffen würde. Dem gegenüber meinte 
der Schatten-Innenminister von Labour, 
Andy Burnham, es gebe eine breite Ak- 
zeptanz, dass ein neues Gesetz verab- 
schiedet werden müsse, damit das Land 
effektiv gegen Terroristen, Pädophile 
und andere Kriminelle vorgehen könne, 
und warnte vor einer „überhysterischen 
Reaktion“ auf Mays Pläne. Die Direk- 
torin der Bürger- und Menschenrechts- 
organisation Liberty, Shami Chakrabati, 
meinte: „Es ist der typische Tanz des 
Innenministeriums, erst extrem weit- 
reichende Kompetenzen zu verlangen, 
damit selbst kleinste Konzessionen als 
vernünftig erscheinen.“ 

Apple-Chef Tim Cook hat bereits An- 
fang November 2015 öffentlich gegen 
den Gesetzesentwurf Stellung bezogen. 
Im Dezember legte der Konzern mit 
einer förmlichen Stellungnahme nach: 
Die Integration von Hintertüren und 
Überwachungsmöglichkeiten würde die 
in Apple-Produkte eingebauten Schutz- 
systeme schwächen und alle KundInnen 
in Gefahr bringen. „Ein Schlüssel unter 
der Fußmatte steht nicht nur den Guten 
zur Verfügung, die Bösen finden diesen 
auch“. Auch die klügsten Köpfe könnten 
die Gesetze der Mathematik nicht än- 
dern. „Jeder Prozess, der die mathema- 
tischen Modelle zum Schutz von Nut- 
zerdaten schwächt, wird automatisch 
das gesamte Schutzsystem schwächen“. 
Cook gab sich optimistisch: „Wenn sich 
die Öffentlichkeit engagiert, wenn sich 
die Presse stark und ausdauernd enga- 
giert, dann wird es den Menschen be- 
wusst werden, was gebraucht wird. Ver- 
schlüsselungen dürfen nicht geschwächt 
werden. Sie müssen gestärkt werden.“ 
Datenschutz und nationale Sicherheit 
schlössen sich nicht aus. Apples Kom- 
munikationsdienste iMessage und Face- 
Time setzen auf Ende-zu-Ende-Ver- 
schlüsselung. Das Unternehmen betont, 
es könne den Inhalt der Nachrichten 
nicht einsehen. Auf richterliche Anfrage 
stellt Apple nach eigener Angabe aber 
Metadaten zu den Kommunikationsvor- 
gängen bereit. Staatliche Stellen kön- 
nen mit einem richterlichen Beschluss 
außerdem den Zugriff auf bestimmte 
iCloud-Daten anfordern, darunter auch 
das iCloud-Backup. Es könne neben 
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App-Daten auch „iMessage, SMS- und 
MMS-Nachrichten sowie Voicemail- 
Mitteilungen“ beinhalten, so Apple in 
den Legal Process Guidelines für Straf- 
verfolgungsbehörden. 

Laut Apple droht das geplante Ge- 
setz außerdem, nicht in Großbritannien 
ansässige Konzerne dazu zu „zwingen, 
die Gesetze ihrer Heimatländer zu bre- 
chen“, wenn sie Informationen zu ihren 
Nutzern auf eine staatliche Anfrage hin 
herausgeben sollen. Dies würde den IT- 
Sektor lähmen und „ernste internationa- 
le Konflikte“ auslösen: „Es könnte für 
einen deutschen Nutzer bedeuten, dass 
seine Daten auf Anordnung des briti- 
schen Staates von einer irischen Firma 
gehackt werden“, so der Konzern, der 
sein Europa-Geschäft über eine irische 
Tochterfirma abwickelt. 

Kritik kam auch von Yahoo. Der mit 
dem Gesetzesentwurf befasste Parla- 
mentsausschuss plante für Februar 2016 
die Erstellung eines Berichts (Krempl, 
Britischer High Court kippt nationale 
Vorratsdatenspeicherung, www.heise. 
de 17.07.2015; Krempl, Großbritanni- 
en plant Vorratsspeicherung auch von 
Inhaltsdaten, www.heise.de 30.10.2015, 
Zaschke, Lizenz zum Speichern, SZ 
03.11.2015, 7; Becker, Apple protestiert 
gegen britisches Netzüberwachungsge- 
setz, www.heise.de 22.12.2015). 


USA 


Gag Order nach National 
Security Letter 
aufgehoben 


Nicholas Merrill, heute 42 Jahre alt, 
betrieb 2004 eine Webhosting-Firma 
namens Calyx Internet Access, die 
zahlenden KundInnen Speicherplatz 
zur Verfügung stellte, um ihre Websei- 
te ins Netz zu stellen. Damals riefen 
Agenten des Federal Bureau of Inves- 
tigation (FBI) bei Merrill an und teil- 
ten ihm mit, dass sie einen Brief für 
ihn hätten. Keine zwei Stunden später 
klopfte das FBI an seine Tür und for- 
derte Informationen über einen von 
Merrills Kunden an. Anders als üblich, 
enthielt dieser Brief keine Unterschrift 
eines Richters, der die Rechtmäßig- 
keit des Informationsverlangens hätte 
überprüfen können. 


Bei dem Brief handelte es sich um 
einen sogenannten „National Security 
Letter“ (NSL). Nach den Anschlägen im 
September 2001 bekamen US-Behörden 
mit dem „Patriot Act‘ weitreichende Be- 
fugnisse, um Terroristen aufzuspüren, 
bevor diese ein Attentat durchführen 
können. Diese Befugnisse umfassten 
auch die Art und Weise, wie NSL einge- 
setzt werden dürfen. Gemäß dem Patri- 
ot Act ist kein konkreter Tatverdacht für 
das Verlangen nötig; die „Relevanz“ für 
eine Ermittlung, um Terroranschläge zu 
verhindern, reicht aus. Einer von Präsi- 
dent Obama eingesetzten Expertenkom- 
mission zufolge verschickt das FBI 60 
NSL pro Tag. Zusammen mit dem Brief 
erhielt Merrill eine „Gag Order“, womit 
dem Auskunftspflichtigen untersagt wird, 
über den Erhalt des Briefes und dessen 
Inhalt zu sprechen. Heute meinte Marrill: 
„Es war eine furchtbare Zeit. Ich hätte nie 
gedacht, dass dieser Fall mich ein Viertel 
meines Lebens beschäftigten würde.“ 

Im August 2015 entschied ein US- 
Richter, dass die Regierung nicht das 
Recht hat, Menschen auf unbestimmte 
Zeit zum Schweigen zu verdonnern. Der 
Regierung wurden 90 Tage eingeräumt, 
um gegen diese Entscheidung Einspruch 
einzulegen. Nach Fristablauf ohne 
Rechtsmittel ist der Maulkorb fort. Es 
ist das erste Mal, dass eine „Gag Order“ 
komplett annuliert wurde. 

Merrill darfnun reden und die Anfrage 
veröffentlichen: Das FBI verlangte Aus- 
kunft zu 17 Punkten, darunter sämtliche 
URL-Adressen, die einem von Merrills 
Firma gehosteten Nutzerkonto zugewie- 
sen waren, alle von dem Kunden getä- 
tigten Online-Käufe der vergangenen 
180 Tage und sämtliche Funkzellen, in 
denen dieser eingeloggt war. 

Gemäß der Interpretation von Merrill 
und seinen Verteidigern von der Yale 
University will das FBI mit derartigen 
URL-Anfragen den gesamten Suchlauf 
im Internet nachvollziehen. Außerdem 
sind gemäß dem NSL alle IP-Adresssen 
preiszugeben, mit denen ein Nutzender 
in Kontakt stand. Merrill: „Diese Daten 
geben die intimsten Daten über unser 
Leben preis: unsere politischen Aktivi- 
täten, religiösen Überzeugungen, unsere 
Kontakte und auch unsere Gedanken.“ 

Merrill hatte über die Jahre bereits 
Teilsiege errungen. So darf er seit 2010 
öffentlich sagen, eine FBI-Anfrage er- 


3 


halten zu haben. Die Klage reichte er 
als „John Doe“ ein, was dem deutschen 
„Max Mustermann“ entspricht. Bei sei- 
nen eigenen Gerichtsterminen durfte er 
nur im Publikum sitzen. Seiner Freun- 
din durfte er nicht erzählen, dass er sich 
mit Anwälten traf. Die Anwälte selbst 
wussten nicht, ob sie Merrill unterstüt- 
zen dürfen, so Jameel Jaffer von der 
Bürgerrechtsgruppe ACLU: „Wir hatten 
keine Antwort, da wir bis dato keinen 
NSL zu Gesicht bekommen hatten.“ 
Merrill betreibt schon seit längerer Zeit 
keine Firma für Webhosting mehr. Statt- 
dessen will er Menschen dazu bringen, 
ihre Online-Kommunikation vor An- 
greifern abzusichern (Tandriverdi, Wie 
das FBI einen Internet-Unternehmer 
zum Schweigen bringt, www.sueddeut- 
sche.de 23.09.2015; Tandriverdi, SZ 
02.12.2015, 19). 


USA 


Obama-Regierung ver- 
zichtet auf Backdoors 


Die US-amerikanische Regierung 
verzichtet darauf, sich per Gesetz Zu- 
griff auf verschlüsselte Daten von In- 
ternet- und Handynutzern zu sichern. 
Dieser Entscheidung von Präsident Ba- 
rack Obama war ein monatelanger Streit 
zwischen den größten Technikkonzer- 
nen, DatenschützerInnen und Verschlüs- 
selungsexpertInnen auf der einen Seite 
und den US-Behörden auf der anderen 
vorausgegangen. Apple, Google, Face- 
book und andere Firmen zogen nun die 
Regierung wenigstens zum Teil auf ihre 
Seite. 

Ursprünglich hatte die US-Regierung 
von den Firmen verlangt, dass sie für 
verschlüsselte Geräte wie zum Beispiel 
iPhones eine Art Generalschlüssel be- 
reithalten. Mit dem sollten dann Behör- 
den wie die Bundespolizei FBI die Sys- 
teme der Nutzenden knacken können, 
sofern Ermittlungen dies verlangt hätten. 
Immer mehr Alltagsgeräte und Software 
wie Telefone, Tabletcomputer oder auch 
Whatsapp verschlüsseln standardmäßig 
zumindest ihren internen Speicher. Im- 
mer öfter können die Firmen die Daten 
ihrer KundInnen deshalb nicht durchsu- 
chen, selbst dann nicht, wenn ihnen ein 
Durchsuchungsbefehl präsentiert wird. 
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Für die Obama-Regierung soll nun die 
Sorge ausschlaggebend gewesen sein, 
dass von den Technik-Konzernen einge- 
baute Hintertürchen in die Verschlüsse- 
lungstechnik nicht nur von den eigenen 
Behörden, sondern auch von fremden 
Spionen genützt werden könnten. Ne- 
ben dem technischen Argument sprach 
offenbar auch eine politische Abwägung 
für die Zurückhaltung der Behörden. 
Nachdem auch Chinesen und Russen 
von US-amerikanischen IT-Konzernen 
verlangen, Hintertüren in ihre Gerä- 
te einzubauen, wollte das Weiße Haus 
wohl auch ein außenpolitisches Signal 
geben (vgl. in diesem Heft S. 35). 

In den amerikanischen Sicherheitsbe- 
hörden stieß die Regierungsentscheidung 
auf Ablehnung. Insbesondere das FBI be- 
fürchtet, dass es künftig nicht mehr effi- 
zient ermitteln könne. Die Geheimdiens- 
te wie die umstrittene National Security 
Agency (NSA) hielten sich hingegen in 
der Debatte auffallend zurück. Sie sind 
offenbar weniger auf das Entgegenkom- 
men der Konzerne angewiesen, weil sie 
über technisch stärkere Möglichkeiten 
verfügen als klassische Behörden und 
auch verschlüsselte Daten knacken kön- 
nen (Boie, Obama will Zugriff auf Han- 
dy-Daten erschweren, SZ 13.10.2015, 1 
= www.sueddeutsche.de 12.10.2015). 


USA 


Clappers Privataccount 
geknackt 


Der US-Geheimdienstkoordinator 
James Clapper hat eingestanden, dass 
seine privaten Onlinekonten gehackt 
worden sind. Ein Jugendlicher mit dem 
Pseudonym «Cracka» bekannte sich zum 
Hackerangriff auf Clappers Internet- und 
Telefonkonto. Gemäß Presseberichten 
gelang es dem Hacker, Anrufe an Clap- 
pers Nummer zur propalästinensischen 
Bewegung Free Palestine Movement um- 
zuleiten. Auch habe er es geschafft, in ein 
Yahoo-Konto von Clappers Ehefrau ein- 
zudringen. Der Hacker soll einer Gruppe 
angehören, die bereits in einen Cyber- 
angriff auf das private Email-Konto des 
CIA-Direktors John Brennan verwickelt 
war. Brennan hatte empört auf den An- 
griff und Medienberichte darüber re- 
agiert («Cracka» hackt Onlinekonten von 


US-Geheimdienst-Koordinator Clapper, 
http://www.watson.ch 13.01.2016). 


USA 


Wählerverzeichnis war 
öffentlich zugänglich 


Über eine fehlkonfigurierte Datenbank 
waren in den USA Daten von 191 Mio. 
WählerInnen öffentlich zugänglich. In den 
USA muss sich jede Person registrieren 
lassen, um wählen zu dürfen, und wird da- 
für in einer Datenbank erfasst. Die dort ab- 
gelegten Informationen enthalten Angaben 
zu Vor- und Zunamen, Anschrift, Festnetz- 
nummer, Geburtsdatum, Geschlecht und 
Ethnizität. Außerdem enthalten sie Infor- 
mationen darüber, zu welchen der Wahlen 
die betreffende Person seit 2000 gegangen 
ist und gegebenenfalls, welcher Partei sie 
angehören. Das erlaubt Rückschlüsse auf 
künftige Wahlgänge und Präferenzen. 

Der texanische Sicherheitsspezialist 
Chris Vickory stellte fest, dass die Daten 
öffentlich zugänglich sind. Die Echtheit 
der Informationen verifizierte er anhand 
seines eigenen Namens. Er konnte zu- 
nächst nicht feststellen, wem der Server 
gehört, und hat das FBI sowie den Gene- 
ralbundesanwalt von Kalifornien einge- 
schaltet. Schließlich sind auch die Daten 
von 17 Mio. Menschen aus Kalifornien 
betroffen. Außerdem macht der Staat als 
einer von wenigen Bundesstaaten die 
Wählerdaten nicht offen zugänglich. 

Einige Staaten legen die Daten ihrer 
registrierten Wähler offen. In der hier 
bloßgelegten Datenbank waren sie aber 
vollständig und besonders konzentriert 
zu finden. Die Daten wären für Kriminel- 
le geeignet gewesen, Wohnorte von Po- 
lizistInnen aufzuspüren oder sie als Aus- 
gangsbasis für Online-Betrug zu nutzen. 
Wer Zugang zu der Datenbank genom- 
men hat, blieb unklar (Kramer, Daten von 
191 Millionen US-Wählern offengelegt, 
www.heise.de 29.12.2015). 


USA 


Prügler fordert Millionen 
Schmerzensgeld 


Der 32-jährige Benjamin Golden- 
versucht, wegen einer Persönlichkeits- 
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verletzung mehrfacher Millionär zu 
werden, nachdem er von seinem Prü- 
gelopfer im Internet bloßgestellt wurde. 
Im Oktober 2015 stieg er betrunken in 
ein Auto des Fahrdienstes Über; er stritt 
mit dem Fahrer Edward Caban über den 
korrekten Weg und wurde hinausge- 
worfen. Er verprügelte daraufhin seinen 
Chauffeur, zog ihn an den Haaren, be- 
schimpfte ihn und verließ das Auto erst, 
als sich Caban mit Pfefferspray wehrte. 
Eine im Fahrzeug angebrachte Kamera 
hatte den Vorfall aufgezeichnet, Caban 
überließ das Video der Polizei und stell- 
te es anschließend ins Internet. Dazu 
verklagte er Golden trotz dessen tränen- 
reicher Entschuldigung im Fernsehen 
(„Das bin nicht ich. Ich schäme mich. 
Ich habe Mist gebaut.‘“) auf 1,6 Mio. 
Dollar Schmerzensgeld. 

Golden setzte zur Gegenwehr an und 
verklagte den Fahrer auf fünf Millionen 
Dollar Schmerzensgeld. Das Video, mitt- 
lerweile millionenfach im Internet ange- 
klickt, sei ohne seine Zustimmung er- 
stellt und veröffentlicht worden. Es habe 
bei ihm für emotionale Schmerzen, De- 
mütigungen und Angstzustände gesorgt, 
zudem habe er deshalb seine gut bezahlte 
Anstellung verloren und seitdem keinen 
Job mehr gefunden. Außerdem habe ihn 
Caban in Gefahr gebracht, weil er ihn aus 
dem Auto geworfen habe. In der Klage- 
schrift heißt es: „Golden wusste nicht, 
wo er sich befand und musste deshalb um 
seine Sicherheit fürchten“. 

Es gibt in den USA einen kompletten 
Wirtschaftszweig, der sich ausschließ- 
lich mit derartigen Klagen beschäftigt. 
AnwältInnen diskutieren nun über die 
Erfolgsaussichten dieses Falles, weil 
dieser weitere Kreise ziehen könnte: 
Im Bundesstaat Kalifornien ist es eine 
Straftat, eine vertrauliche Unterhaltung 
an einem privaten Ort zu belauschen 
oder ohne die Zustimmung aller Ge- 
sprächspartnerInnen aufzuzeichnen. 

Die zentrale rechtliche Frage ist also 
nicht, ob es klug und legitim war, die 
Aufnahmen ins Internet zu stellen. Viel- 
mehr kommt es darauf an, ob das Auto 
eines Über-Fahrers, der nicht Angestell- 
ter des Unternehmens ist, ein öffentli- 
cher oder privater Ort ist. Ein Bus etwa 
gilt in Kalifornien als öffentlich, ein Pri- 
vatauto nicht unbedingt. Deshalb wer- 
den Golden Chancen eingeräumt, mit 
seiner Klage erfolgreich zu sein. Er wäre 
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dann Millionär, weil er dabei gefilmt 
worden ist, wie er jemanden verprügelt 
hat (Schmieder, Vom Prügler zum Milli- 
onär, SZ 25.01.2016, S. 17). 


USA 


Versteckte Kamera in 
Airbnb-Wohnung 


Yvonne Schumacher, eine deutsche 
Touristin, reichte im Dezember 2015 
gegen das Wohnungsvermittlungsportal 
Airbnb und die an sie vermittelten Ver- 
mieter Klage ein, weil sie von einer ver- 
steckt installierten Kamera erfasst wor- 
den ist. Sie beschreibt, dass sie nachts auf 
die Toilette gehen wollte, doch das Bad 
war ihr zu verdreckt. Sie benutzte also 
ein anderes Badezimmer und ging nackt 
durch die Wohnung, vorbei am Wohn- 
zimmer. Ihr Anwalt Michael Jackson er- 
läuterte: „Dabei ist sie genau durch das 
Blickfeld einer Kamera gelaufen“. Schu- 
macher war mit einem Mann zu Gast, der 
aus einem der Regale eine Lichtquelle 
wahrnahm und so die Kamera fand. Er 
arbeite im IT-Umfeld, kenne sich mit 
technischen Geräten also aus und habe 
so feststellen können, dass die Kamera 
laufe. Sie sei aus der Ferne steuerbar und 
auch in der Lage, Töne aufzunehmen. Er- 
fasst wurden also möglicherweise auch 
jene Privatgespräche, die Schumacher 
und ihre Begleitung in den vorangegan- 
genen Tagen im Wohnzimmer geführt 
hatten. 

Der Anwalt kündigte an, dass man 
während des Prozesses zeigen werde, 
dass die Kamera aktiv von den Vermie- 
tern genutzt wurde. „Das war eine grobe 
Verletzung der Privatsphäre.“ Jackson 
sagte, Airbnb habe den Vermietern auch 
nach Melden des Vorfalls erlaubt, die 
Wohnung zu vermieten. Der Airbnb- 
Sprecher verneint das. Der Anwalt mein- 
te, seine Mandantin sei schockiert und 
fühle sich gedemütigt. Sie habe Angst, 
dass nun Nacktfotos von ihr im Internet 
landen oder als Druckmittel eingesetzt 
werden könnten. Airbnb stelle sich ger- 
ne als vertrauenswürdiger Makler dar, so 
Jackson: „Das stimmt natürlich nicht. Es 
gibt keine Sicherheitsvorkehrungen, um 
die Mieter zu schützen.“ In Hotels sei 
klar geregelt, dass sich in Zimmern kei- 
ne Kameras befinden dürfen. In den USA 


aber würden sie in privaten Wohnungen 
oder Häusern, wie sie Airbnb vermittelt, 
immer häufiger eingesetzt. 

Ein Sprecher von Airbnb erklärte, dass 
„über 65 Millionen Gäste positive, ver- 
trauenswürdige Erfahrungen mit Airbnb“ 
gemacht hätten. Schumacher und die 
angebliche Spanner-Kamera sei ein „un- 
glaublich seltener Fall“. Jedes Jahr wür- 
den zehntausende Vermietungen über die 
Plattform laufen, ohne dass Schäden auf- 
treten. Das erfolgreiche Start-up Airbnb 
wird mit 25 Milliarden Dollar bewertet. 
Allerdings stand Airbnb in den vergan- 
genen Jahren wiederholt in der Kritik. 
Mal wurden Wohnungen zerstört, mal 
haben Mieter die Wohnung als Set für 
einen Porno-Dreh verwendet. Anfang 
2015 wurden mehrere Kameras in einer 
Airbnb-Wohnung in Kanada gefunden. 

Jahrelang gab Airbnb in den Geschäfts- 
bedingungen nicht an, dass Vermieter an- 
geben müssen, ob sie Kameras in ihren 
Wohnungen installiert haben. Seit Sep- 
tember 2014 besteht nun eine Anwei- 
sung, dass Vermieter Gäste auf Kameras 
hinzuweisen haben. AktivistInnen haben 
bereits angefangen, eine digitale Gegen- 
wehr zu ermöglichen. Der Künstler Juli- 
an Oliver hat ein Programm geschrieben, 
das im lokalen Netzwerk nach Kameras 
sucht und diese automatisch aus dem 
Netzwerk wirft (Tandriverdi, Versteckte 
Kamera, SZ 14.01.2016, 17). 


Brasilien 


Gericht blockiert Whats- 
app 14 Stunden lang 


Am 17.12.2015 bestand für 14 Stunden 
in ganz Brasilien eine Sperre des Inter- 
netdienstes WhatsApp. Die Blockade 
war von einem Gericht in Säo Bernardo 
do Campo im Bundesstaat Säo Paulo 
für 48 Stunden angeordnet worden. Die 
Richterin Sandra Regina Nostre Marques 
hatte die Telefon- und Internetunterneh- 
men dazu kurzfristig aufgefordert. Hin- 
tergrund ist ein Strafverfahren, in dem 
WhatsApp nicht kooperiert haben soll, 
bei dem es um die Herausgabe von Da- 
ten oder Chat-Protokollen zu mutmaßlich 
kriminellen Handlungen ging. Im Februar 
2015 war eine vergleichbare landesweite 
Blockade noch von einer Berufungsins- 
tanz zurückgewiesen worden. Damals 
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ging es laut Medienberichten um die He- 
rausgabe von Daten im Zusammenhang 
mit einem Pädophilie-Fall. Der Richter 
des Gerichtshofs des Bundesstaates Sao 
Paulo Xavier de Souz hob die Entschei- 
dung der Richterin im Rechtsmittelver- 
fahren wieder auf und bezeichnete die 
Maßnahme als „unangemessen“. Eine 
Geldstrafe sei angebrachter als Dutzen- 
de Millionen an Nutzenden zu bestrafen. 
Kurz nach dieser Entscheidung funktio- 
nierte der Dienst wieder. 

Mit Whatsapp können unter anderem 
kostenlos Nachrichten, Fotos, Videos 
und Sprachmitteilungen versendet wer- 
den. Facebook hatte den Dienst 2014 für 
22 Milliarden Dollar gekauft. Der Chef 
von Facebook Mark Zuckerberg kriti- 
sierte die Blockade des Dienstes scharf: 
„Das ist ein trauriger Tag für Brasilien. 
Brasilien ist bisher ein Verbündeter ge- 
wesen bei der Schaffung eines offenen 
Internets.“ Es könne nicht sein, dass 
die Entscheidung einer Richterin „jede 
Person in Brasilien bestraft, die Whats- 
app benutzt“. Diese forderte er auf, ihre 
Stimme zu erheben. Zuckerberg betonte, 
Datenschutz sei ein hohes Gut. Fraglich 
ist, ob Whatsapp wegen der verwendeten 
Verschlüsselungstechnik überhaupt in 
der Lage gewesen wäre, die geforderten 
Daten herauszugeben. 

Die führenden Telefongesellschaften 
Vivo, Tim, Claro, und Oi hatten die 
gerichtliche Anordnung notgedrungen 
umgesetzt. Auch WLAN-Verbindun- 
gen waren betroffen. Mit der Blockade 
nutzte das Gericht technische Sperr- 
möglichkeiten in einer bisher beispiel- 
losen Größenordnung, um Druck auf 
den Anbieter auszuüben, damit dieser 
Daten seiner Nutzenden herausgibt. 
Wenn sonst soziale Medien wie Twit- 
ter oder YouTube in manchen Ländern 
blockiert werden, geschieht dies eher, 
um den Zugang zu unliebsamen Inhal- 
ten oder Daten zu erschweren. Brasi- 
lien gilt als eines der Länder mit den 
meisten WhatsApp-Nutzenden. Laut 
dem US-Branchendienst TechCrunch 
beträgt ihre Zahl dort 93 Millionen. 
Weltweit sollen rund 900 Millionen 
Menschen WhatsApp nutzen. 

Kurz vor dem Start der Blockade in der 
Nacht zum 17.12. wurden noch Nach- 
richten verschickt: „Auf Telegram aus- 
weichen“. Der brasilianische Dienst Tele- 
gram funktioniert ähnlich wie Whatsapp. 
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Mit einer Internetverbindung können 
kostenlos Nachrichten versendet werden. 
Telegram berichtete noch am gleichen 
Tag, dass man über 1,5 Mio. neue Nut- 
zende gewonnen habe (Brasilien: Zu- 
ckerberg tobt wegen WhatsApp-Sperre, 
www.spiegel.de 17.12.2015; Zuckerberg 
tobt: Brasilien schaltet Wahtsapp ab, Kie- 
ler Nachrichten 18.12.2015, 6). 


Pakistan 


Regierung fordert erfolg- 
los Vollzugriff auf Black- 
berry-Daten 


Die pakistanische Regierung besteht 
nicht mehr auf einer Überwachung von 
Blackberry-Nutzerdaten. Sie hatte Zu- 
griff auf Server des kanadischen Smart- 
phone-Herstellers gefordert, weshalb 
Blackberry sich aus dem Land zurück- 
ziehen wollte. Die staatliche Telekom- 
munikationsbehörde PTA hatte im Juli 
2015 gefordert, Zugang zu den Blackber- 
ry Enterprise Servern (BES) zu erhalten, 
um die Überwachung zu erleichtern und 
um Zugriff auf den gesamten Datenver- 
kehr zu erlangen, der über die BES läuft. 
Das schließt nicht nur Informationen 
über die Benutzenden selbst, sondern 
auch E-Mails und Kurznachrichten ein. 
Von dem Rückzug wären in Pakistan 
wohl weniger als 5.000 KundInnen be- 
troffen gewesen. Die pakistanische Tele- 
kommunikationsbehörde hatte ihr Anlie- 
gen damit begründet, dass immer mehr 
Kriminelle auf sichere Kommunikation 
ausweichen würden. AnalystInnen ent- 
gegneten dem aber, dass die Regierung 
ihre Online-Überwachung in Wahrheit 
ausweite, um AktivistInnen, Politiker 
Innen und JournalistInnen ins Visier zu 
nehmen. 

Auch Blackberry meinte, dass es Paki- 
stans Regierung nicht um die öffentliche 
Sicherheit ging. Man habe sich bereit 
erklärt, Sicherheitsbehörden bei Ermitt- 
lungen zu helfen. Pakistan habe jedoch 
uneingeschränkten Zugang zu den Da- 
ten von BES-KundInnen gefordert. Dem 
Datenschutz müsse Vorrang eingeräumt 
werden. Dieses Prinzip werde man nicht 
aufgeben. Der Smartphone-Hersteller 
selbst hat keinen Zugriff auf die ver- 
schlüsselten Daten und lehnte es ab, sich 
Zugang zu verschaffen. Blackberry hatte 


angekündigt, sein Engagement in Pakis- 
tan bis Ende des Jahres 2015 zu beenden, 
falls die Regierung die Überwachungs- 
pläne nicht zurückziehe. 

Mit ähnlichen Schwierigkeiten hatte 
Blackberry bereits in Indien, den Ver- 
einigten Arabischen Emiraten, Saudi- 
Arabien und Indonesien zu kämpfen. 
Verantwortliche der Telekommunika- 
tionsbehörde PTA hatten argumentiert, 
dass sie nichts anderes verlangten als in 
anderen Ländern. So habe sich Blackber- 
ry etwa in Saudi-Arabien dem Ansinnen 
der Geheimdienste gebeugt (Kramer, 
Blackberry bleibt in Pakistan, www. 
heise.de 03.01.2016; Holland, Blackber- 
ry will Pakistan verlassen, www.heise.de 
30.11.2015). 


Hongkong 


Kinderdaten von VTech 
geklaut 


Bei einem Hack des Spielzeug- und 
Lernsoftware-Herstellerss mit Sitz in 
Hongkong „VTech“, der auch auf dem 
deutschen Markt vertreten ist, haben Un- 
bekannte rund 6,4 Millionen Profile mit 
Angaben u. a. zu Wohnadressen, Vorna- 
men, Geburtstagen und Geschlecht von 
Kindern sowie 4,9 Millionen Konten von 
Eltern gehackt. Das Unternehmen erklär- 
te, dass in Deutschland knapp 391.000 
Eltern-Konten gehackt und rund 509.000 
Kinder-Profile betroffen sind. Der Groß- 
teil des Datenlecks treffe die USA mit 2,2 
Millionen Eltern- und fast 2,9 Millionen 
Kinder-Accounts. Mehrere Gigabyte der 
erbeuteten Daten wurden ins Internet 
gestellt. VTech vertreibt unter anderem 
Spiel-Computer und Lern-Software. 

Laut einer E-Mail, die VTech Ende 
November an betroffene KundInnen 
verschickte, wurde der Angriff von der 
Firma am 14.11.2015 festgestellt. Die 
Hacker hatten sich demnach über den 
Download-Manager des App Stores Zu- 
gang zur Kundendatenbank verschafft. 
Die enthalte Namen, E-Mail-Adressen, 
verschlüsselte Passwörter, Sicherheits- 
abfragen und -Antworten zur Kennwort- 
wiederherstellung, IP-Adressen sowie 
Postanschriften und Download-Chroni- 
ken. Daten zu Bankverbindungen und 
Kreditkarten sowie persönliche Identifi- 
kationsnummern wurden laut Hersteller 
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nicht erbeutet. VTech erklärte weiter, 
dass ein Medienbericht, wonach die Ha- 
cker auch Fotos von Kindern und Proto- 
kolle von Chats mit ihren Eltern abgrei- 
fen konnten, geprüft werde. Man könne 
das zunächst nicht bestätigen. Auf jeden 
Fall seien die Bilder per Verschlüsselung 
geschützt. 

Gemäß der US-Internetseite Mother- 
board erfolgte der Angriff mit einer seit 
Jahren bekannten Masche, bei der Da- 
tenbanken mit gezielt fehlerhaften Anfra- 
gen dazu gebracht werden, den Zugriff 
freizugeben. Die Passwörter waren zwar 
verschlüsselt, jedoch mit einem Verfah- 
ren, das als relativ leicht zu knacken gilt. 
Nach Ansicht von Larry Salibra, Grün- 
der und Chef einer Firma für Software- 
Fehlertests, wurden im Fall von VTech 
einfachste Grundregeln der IT-Sicherheit 
missachtet: „Das scheint ein Trend zu 
sein: Hardware-Hersteller legen keinen 
großen Wert auf Software-Fähigkeiten, 
wahrscheinlich, weil sie keinen unmit- 
telbaren positiven Effekt auf ihr Geschäft 
sehen.‘ Das gelte aber nur solange, bis 
etwas wie ein Hackerangriff passiere. 

Die Webseite „Have I been pwned“ 
des Sicherheitsforschers Troy Hunt er- 
möglichte es den KundInnen zu prüfen, 
ob auch ihre Daten den Hackern in die 
Hände gefallen sind, indem sie die für 
VTech-Dienste genutzte E-Mail-Adresse 
oder der Benutzername in das Suchfeld 
eingeben. Die Datenbank der Webseite 
enthält zudem Einträge zu weiteren gro- 
Ben Datenlecks von Diensten wie Ama- 
zon, Ashley Madison, Snapchat, Patreon 
oder Vodafone. 

In den USA haben mindestens zwei 
Bundesstaaten wegen des Vorfalls Er- 
mittlungen aufgenommen. Die Daten- 
panne des Hongkonger Unternehmens 
gehört zu den größten bisher bekannt 
gewordenen. Im Februar 2015 waren der 
US-Versicherung Anthem 80 Millionen 
Datensätze gestohlen worden. Dem Sei- 
tensprung-Portal Ashley Madison kamen 
im Juli 2015 37 Millionen Datensätze ab- 
handen (Datenleck bei Spielzeug-Firma 
VTech größer als gedacht, www.heise. 
de 02.12.2015; Martin-Jung, Kinder- 
Daten geklaut, SZ 01.12.2015, 26; Web- 
seite zeigt von VTech-Hack betroffene 
Nutzerkonten, www.heise.de/security/ 
30.11.2015, Radke, VTech-Hack: Knapp 
5 Millionen Daten von Kunden und Kin- 
dern erbeutet, www.heise.de 28.11.2015). 
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China 


Umsstrittenes Anti-Terror- 
Gesetz verabschiedet 


Die chinesische Regierung hat ein 
„Anti-Terror-Gesetz‘ verabschiedet, das 
den Behörden Zugriff auf verschlüssel- 
te Daten ausländischer Unternehmen 
ermöglicht. Die staatliche Nachrichten- 
agentur Xinhua teilte mit, dass der Stän- 
dige Ausschuss des Nationalen Volks- 
kongresses dem „ersten Anti-Terror- 
Gesetz des Landes“ und dem Ausbau 
staatlicher Überwachungsmechanismen 
zugestimmt hat. 

Das Gesetz zur nationalen Sicher- 
heit verlangt, dass alle wichtigen Infra- 
strukturnetze und Informationssysteme 
„sicher und kontrollierbar‘“‘ sind. Das 
bedeutet, dass Technologiefirmen der 
chinesischen Regierung gegebenenfalls 
Zugang zur ihren Produkten sowie zu 
Kodierungsschlüsseln geben müssen. 
Dies wurde nicht nur von westlichen 
Wirtschaftsverbänden kritisiert. US- 
Präsident Barack Obama trug im Vor- 
feld in Gesprächen mit seinem chine- 
sischen Kollegen Xi Jinping Bedenken 
vor: „Wir haben sehr deutlich gemacht, 
dass sie das ändern müssen, wenn sie 
mit den USA Geschäfte machen wol- 
len.“ Der Gesetzentwurf zwinge alle 
ausländischen Unternehmen, der chi- 
nesischen Regierung Mechanismen an 
die Hand zu geben, um ihre KundInnen 
auszuspionieren, bemängelte der US- 
Präsident: „Sie können sich vorstellen, 
dass die Konzerne dazu nicht bereit 
sein werden.“ Aus Sicht der USA setze 
die Volksrepublik ausländische Unter- 
nehmen durch unfaire Maßnahmen der 
Aufsichtsbehörden unter Druck. China 
könne damit in die Privatsphäre von 
Verbrauchern eindringen. Das Gesetz 
behindere die freie Meinungsäußerung 
sowie den US-Handel mit China. Das 
chinesische Außenministerium hinge- 
gen warf den USA unrechtmäßige Ein- 
mischung vor und teilte mit, Technolo- 
giefirmen hätten nichts zu befürchten. 

Obamas eigene Behörden, nament- 
lich das FBI und die NSA, wollen sol- 
che Hintertüren in den Produkten der 
US-Firmen ebenfalls haben. Und die 
US-Unternehmen denken dabei nicht 
nur an die eigene Regierung, sondern 
eben auch an die chinesische. So hat- 


te Yahoos Sicherheitschef den NSA- 
Direktor Michael Rogers gefragt, ob er 
die eigenen Sicherheitsvorkehrungen 
auch für andere Regierungen aushebeln 
soll, wenn die ein entsprechendes Ge- 
setz beschließen. Rogers gab darauf die 
Antwort: „Ich denke, wir können uns 
da durcharbeiten“. 

Ein Mitglied des Rechtsausschusses des 
Parlaments sagte, China hole mit dem Ge- 
setz lediglich nach, was westliche Staaten 
schon getan hätten — nämlich IT-Firmen 
zu bitten, bei der Bekämpfung des Terro- 
rismus zu helfen. Die normale Arbeit der 
Unternehmen sei davon nicht berührt. Sie 
hätten auch nichts zu befürchten hinsicht- 
lich der Installation sogenannter Hinter- 
türen für den Zugang zu Daten oder der 
Verletzung von Urheberrechten. 

„Die chinesische Regierung trifft 
konkrete Maßnahmen, um ihr Volk und 
auch normale Amerikaner zu schüt- 
zen, die etwa Weihnachten im Pekinger 
Sanlitun-Viertel verbringen“, hieß es auf 
einer Nachrichtenseite der staatlichen 
Nachrichtenagentur Xinhua. Die USA 
erwiesen sich als Meister der doppelten 
Standards, hätten sie doch selbst längst 
vergleichbare Gesetze verabschiedet. 
Die Polizei in der chinesischen Haupt- 
stadt hatte den geschäftigen Amüsier- 
und Einkaufsbezirk kurz vorher nach 
einer Sicherheitswarnung abgeriegelt. 
Das neue Gesetz eröffnet auch rechtlich 
die Möglichkeit, dass die chinesischen 
Streitkräfte an Anti-Terroreinsätzen im 
Ausland teilnehmen. Den Medien wird 
die Beschränkung auferlegt, dass sie über 
Details von Terroranschlägen nicht be- 
richten dürfen. Begründet wird dies da- 
mit, dass Nachahmungstäter nicht durch 
die Berichte angestiftet werden sollen. 

China sieht sich immer wieder mit Pro- 
testen und Aufständen des Turkvolkes 
der Uighuren in der westlichen Region 
Xinjiang konfrontiert. Die Regierung 
macht muslimische Extremisten dafür 
verantwortlich. MenschenrechtlerInnen 
sehen den Anlass für die dortigen Unru- 
hen in der Diskriminierung der Uighuren 
(China verabschiedet umstrittenes Anti- 
Terror-Gesetz, www.zeit.de 27.12.2015; 
Strittiges Anti-Terror-Gesetz, SZ 
28.12.2015, 7; Beuth, Eine Hintertür für 
uns, aber bitte nicht für China, www.zeit. 
de 03.03.2015). 
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UT slolLLaNF-Tei/alalejait-Ya 


Abgebildete Augenpaare 
disziplinieren Menschen 


Ein Forschungsteam von Psycholo- 
gInnen um Melissa Bateson und Daniel 
Nettle von der Universität Newcastle hat 
gemäß dem Fachjournal Peer) (online) 
herausgefunden, dass bereits das Bild 
eines Augenpaares einen erzieherischen 
Effekt auf das Verhalten von Menschen 
hat: Da diese Darstellung daran erinnert, 
dass man beobachtet werden könnte, 
wird so die Wahrscheinlichkeit eines 
Normverstoßes reduziert. 

Die ForscherInnen hängten an Fahr- 
räder nahe ihrer Universität Karten mit 
einer Warnung vor Dieben und forder- 
ten dazu auf, ein sicheres Schloss zu 
verwenden. Sie interessierten sich nun 
dafür, wohin die mit dieser Nachricht 
traktierten Menschen die Postkarte am 
Rad „entsorgten“, wenn sie losfahren 
wollten. War auf dem Flyer zusätzlich 
zur Botschaft ein Augenpaar zu sehen, 
dann sank die Wahrscheinlichkeit, dass 
die FahrradbesitzerInnen den Zettel ein- 
fach auf den Boden warfen. Lediglich 
4,7% der Personen warfen das Papier 
unter diesen Bedingungen achtlos weg. 
Waren dagegen keine Augen auf dem 
Flyer, waren es 15,6% der von dem Ver- 
such Betroffenen, die das Papier zwi- 
schen die Räder am Stellplatz zurück- 


EGMR 


Arbeitgeber darf private 
Arbeitnehmer-E-Mails 
überwachen 


Der Europäische Gerichtshof für 
Menschenrechte (EGMR) hat in einem 
Urteil vom 12.01.2016 entschieden, 
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ließen. Ähnliche Ergebnisse sind aus 
vergleichbaren Studien bekannt: Sind 
Augenpaare gut sichtbar an der Wand 
angebracht, hat dies den gleichen Effekt. 
In einem Versuch steigerten die Bilder 
die Ehrlichkeit von ProbandInnen, wenn 
diese ohne Kontrolle Geld für Kaffee in 
eine Kasse werfen sollten. 

Nettle: „Es ist Menschen eben sehr 
wichtig, was andere von ihnen denken 
und wir verhalten uns anständiger, wenn 
wir uns beobachtet fühlen.“ Wer sich be- 
obachtet fühlt, verhält sich mit höherer 
Wahrscheinlichkeit regelkonform. Die 
Gegenwart anderer übt einen diszipli- 
nierenden Einfluss auf Menschen aus. 
Manche Dinge macht man nur, wenn 
man sich unbeobachtet fühlt. Die Psy- 
chologInnen regen an, zum Beispiel 
Fast-Food-Verpackungen mit Augen- 
paaren zu bedrucken. Gut möglich, dass 
Städte so sauberer werden (Herrmann, 
Du wirst beobachtet, SZ 02.12.2015, 16 
= www.sueddeutsche.de 01.12.2015). 


Gesellschaftsanalyse per 
Mobilfunk-Auswertung 


In vielen afrikanischen Staaten exis- 
tieren keine zuverlässigen Daten über 
die Entwicklung von Bevölkerung und 
Wirtschaft. Durch Analyse des Mobil- 


dass die Überwachung der Internet- 
nutzung eines Arbeitnehmers durch 
dessen Arbeitgeber keinen Verstoß ge- 
gen Artikel 8 der Europäischen Men- 
schenrechtskonvention (Recht auf Ach- 
tung des Privat- und Familienlebens) 
darstellt, wenn die E-Mail-Nutzung 
auf dienstliche Zwecke beschränkt ist 
(Barbulescu/Rumänien, Beschwerdenr. 
61496/08). 


funkverkehrs wollen Wissenschaftler- 
Innen Erkenntnisse von Gesellschaften 
erlangen und ein sozio-demografisches 
Profil ganzer Nationen nachzeichnen. 
Informatiker um Joshua Blumenstock 
von der University of Washington in Se- 
attle berichten im Fachjournal Science 
(Bd. 350, S. 1073, 2015), dass sie auf 
diese Weise die Verteilung von Wohl- 
stand im afrikanischen Staat Ruanda 
abbilden können. Die Forschenden wer- 
teten die Daten von mehreren Milliar- 
den Mobilfunk-Interaktionen in Ruanda 
aus und erstellten für einzelne Personen 
Bewegungsprofile, analysierten deren 
soziale Netzwerke und extrahierten au- 
ßerdem Daten zum finanziellem Ver- 
halten. So gelang es ihnen, ein exaktes 
Bild zu erstellen, wo in Ruanda Wohl- 
stand oder Armut konzentriert sind. In 
vielen Entwicklungsländern existieren 
nur sehr ungenaue nationale Statistiken, 
etwa über die Verteilung von Einkom- 
men, über die Industrieproduktion oder 
die geografische Konzentration von 
Armut. Häufig wichen die offiziellen 
Zahlen um mehr als 50 Prozent von den 
tatsächlichen Gegebenheiten ab. Weil 
aber auf Basis dieser Informationen po- 
litische Entscheidungen gefällt werden, 
ist das ein Problem (Reich oder arm? 
www.sueddeutsche.de 26.11.2015 = SZ 
27.11.2015, 16). 


atelsiejeigteislölgte | 


Der Beschwerdeführer, ein Ingenieur, 
hatte geltend gemacht, sein Recht auf 
vertrauliche Kommunikation sei verletzt 
worden, als die Chats für seine Kündi- 
gung verwendet wurden. Er war von 
seinem Arbeitgeber darüber in Kenntnis 
gesetzt worden, dass ein auf Anwei- 
sung seines Arbeitgebers eingerichtetes 
Yahoo-Messenger-Konto überwacht 
worden war und dass die Aufzeichnun- 
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gen eine private Nutzung auswiesen. 
Der Beschwerdeführer bestritt dies. 
Darauf hin wurden ihm die Protokolle 
seiner Kommunikation inklusive Nach- 
richten vorgelegt, die er mit seinem 
Bruder und seiner Verlobten über sein 
Gesundheits- und Geschlechtsleben aus- 
getauscht hatte. In der Folge wurde dem 
Beschwerdeführer gekündigt. 

Nach dem EGMR-Urteil haben die 
heimischen Gerichte dem Antragsteller 
die Möglichkeit gegeben, seine Argu- 
mente zu einer Verletzung von Art. 8 
EMRK vorzubringen. Außerdem hätten 
diese die Interessen des Beschwerdefüh- 
rers in einen fairen Ausgleich mit denen 
des Arbeitgebers gebracht, unter ande- 
rem hätten sie in ihren Entscheidungen 
keine Einzelheiten über die E-Mail- 
Kommunikation genannt. Es sei vom 
Arbeitgeber nicht unbillig, die Arbeits- 
leistung des Arbeitnehmers während 
der Arbeitszeit überprüfen zu wollen 
(Didier, EGMR: Arbeitgeber darf priva- 
te Arbeitnehmer-E-Mails überwachen, 
www.der-betrieb.de 21.01.2016; Gesel- 
lensetter, SZ 22.01.2016, 21). 


BGH 


Löschanspruch gegen 
Exfreund bei Bildern aus 
Intimsphäre 


Der Bundesgerichtshof (BGH) be- 
stätigte mit Urteil vom 13.10.2015 das 
Urteil des Oberlandesgerichts (OLG) 
Koblenz vom 20.04.2014, das einen 
Fotografen verpflichtete, Intimfotos 
seiner Freundin auf deren Aufforde- 
rung hin zu löschen (VI ZR 271/14). 
Die klagende frühere Freundin hatte 
mit dem Beklagten eine außereheli- 
che intime Liebesbeziehung, in der 
einvernehmlich zahlreiche Bild- und 
Filmaufnahmen mit der Frau unbeklei- 
det und bekleidet sowie vor, während 
und nach dem Geschlechtsverkehr ent- 
standen, die der Beklagte speicherte. 
Schon in der Vorinstanz verpflichtete 
sich der Fotograf, die Bilder ohne die 
Einwilligung der Frau keinen Dritten 
zugänglich zu machen. Die Frau for- 
derte ihn darüber hinausgehend dazu 
auf, sämtliche Bilder einschließlich 
Filme zu löschen bzw. Kopien zu ver- 
nichten. 


DANA » Datenschutz Nachrichten 1/2016 


Dieser Klage entsprach das Land- 
gericht (LG) Koblenz in Bezug auf 
Nackt- und Intimbilder, nicht jedoch 
bezüglich der weniger verfänglichen 
Bilder. Dagegen legten beide Seiten 
Berufung ein, die jeweils vom OLG 
Koblenz zurückgewiesen wurde (vgl. 
DANA 1/2015, 49 £.). Der BGH bestä- 
tigte nun das OLG-Urteil. Den Löschan- 
spruch begründete der BGH nicht mit 
dem Bundesdatenschutzgesetz (BDSG), 
da die Aufnahmen nicht zur Veröffent- 
lichung bestimmt und ausschließlich zu 
persönlichen bzw. privaten Zwecken 
gefertigt worden sind ($$ 1 Abs. 2 Nr. 
3, 27 BDSG). Das Gericht stützte den 
Anspruch auch nicht auf $ 37 Kunstur- 
hebergesetz (KUG), da die Bilder nicht 
widerrechtlich hergestellt wurden. 

Als Rechtsgrund für den Löschan- 
spruch erkannte der BGH vielmehr das 
aus dem allgemeinen Persönlichkeits- 
recht abgeleitete und in den $$ 22 ff. 
KUG geschützte Recht am eigenen Bild 
an. Daraus ergibt sich „kein allgemei- 
nes oder gar umfassendes Verfügungs- 
recht über die Darstellung der eigenen 
Person“, wohl „aber Einfluss- und Ent- 
scheidungsmöglichkeiten, soweit es um 
die Anfertigung und Verwendung von 
Bildaufzeichnungen seiner Person durch 
andere geht. Das Schutzbedürfnis ergibt 
sich vor allem aus der Möglichkeit, das 
auf eine bestimmte Situation bezogene 
Erscheinungsbild eines Menschen da- 
von zu lösen und das Abbild jederzeit 
unter für den Betroffenen nicht über- 
schaubaren und/oder nicht beherrsch- 
baren Voraussetzungen vor Dritten zu 
reproduzieren. Je leichter dies ist, desto 
größer kann das Schutzbedürfnis sein. 
So sind mit dem Fortschritt der Aufnah- 
metechniken wachsende Möglichkeiten 
der Gefährdung von Persönlichkeits- 
rechten verbunden“. 

Der BGH stellte klar, dass die $$ 22 
ff. KUG einen weitergehenden Bildnis- 
schutz nicht ausschließen: „Danach kann 
unter besonderen Umständen schon das 
Innehaben der Verfügungsmacht über 
Bildaufnahmen durch einen Dritten ge- 
gen den Willen des Abgebildeten, sei es 
durch Behalten und Betrachten, dessen 
Persönlichkeitsrechte verletzen.“ Dies 
gilt vor allem, wenn die Privat- und In- 
timsphäre des Einzelnen und Aspekte des 
Geschlechtslebens tangiert sind: „Fehlte 
es hier an einem Schutz vor Kenntniser- 


langung anderer, wäre die sexuelle Ent- 
faltung erheblich beeinträchtigt, obwohl 
es sich um grundrechtlich geschützte 
Verhaltensweisen handelt.“ Das Grund- 
gesetz gewährt dem Einzelnen im Kern- 
bereich höchstpersönlicher, privater Le- 
bensgestaltung einen unantastbaren Be- 
reich zur Entfaltung der Persönlichkeit, 
der wegen seiner besonderen Nähe zur 
Menschenwürde absolut geschützt und 
einer Einschränkung durch Abwägung 
nach Maßgabe des Verhältnismäßigkeits- 
grundsatzes nicht zugänglich ist“. 

Die intimen Aufnahmen waren, so der 
BGH, diesem Kernbereich zuzuordnen: 
„Wer nämlich — wie hier — Bildaufnah- 
men und Fotografien, die einen ande- 
ren darstellen, besitzt, erlangt allein 
durch diesen Besitz eine gewisse Herr- 
schafts- und Manipulationsmacht über 
den Abgebildeten, selbst wenn eine Ver- 
breitung und Weitergabe an Dritte nicht 
beabsichtigt oder untersagt ist. Diese 
Macht ist umso größer, als Aufnahmen 
eine vollständige Entblößung des gänz- 
lich Privaten, der grundsätzlich absolut 
geschützten Intimsphäre des Einzel- 
nen, insbesondere im Zusammenhang 
mit gelebter Sexualität, zeigen. Diese 
Entblößung wird vom Abgebildeten re- 
gelmäßig als peinlich und beschämend 
empfunden, wenn sich der Situationszu- 
sammenhang wie hier durch die Beendi- 
gung der Beziehung geändert hat. 

Der Umstand, dass sich die Klägerin 
dem Beklagten geöffnet hat, kann zwar 
zu einer Abwägungsentscheidung füh- 
ren. „Diese Einwilligung war aber be- 
grenzt auf die Dauer ihrer Beziehung zu 
dem Beklagten.“ Der Beklagte konnte 
als Fotograf auch nicht seine Berufsfrei- 
heit wirksam machen, weil diese nicht 
berührt war. „Das ideelle Interesse des 
Beklagten, die Bilder zur Pflege der Er- 
innerung an die gemeinsame Beziehung 
behalten zu dürfen, kann eine schutz- 
würdige Rechtsposition schon deshalb 
nicht begründen, weil ihm der Gewahr- 
sam an den Bildern von vornherein nur 
für die Dauer der Beziehung gestattet 
war. Aus entsprechenden Gründen ist 
dem Beklagten auch die Berufung auf 
Art. 14 GG oder die Kunstfreiheit (Art. 
5 Abs. 3 GG) versagt“ (http://juris. 
bundesgerichtshof.de/cgi-bin/ 
rechtsprechung/document.py?Gericht= 
bgh&Art=en&Datum=Aktuell&Sort=1 
2288&n1=73173&pos=24&anz=585). 
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BGH 


Werbung in Kunden-E- 
Mail nach Widerspruch 
unzulässig 


Der Bundesgerichtshof (BGH) hat mit 
Urteil vom 15.12.2014 entschieden, dass 
gegen den erklärten Willen eines Ver- 
brauchers übersandte E-Mails mit werb- 
lichem Inhalt eine Verletzung des allge- 
meinen Persönlichkeitsrechts darstellen 
(VI ZR 134/15). Der Kläger hatte sich 
am 10.12.2013 mit der Bitte um Bestä- 
tigung einer von ihm ausgesprochenen 
Kündigung per E-Mail an seine Sparkas- 
senversicherung, die Beklagte, gewandt. 
Diese bestätigte unter dem Betreff „Au- 
tomatische Antwort auf Ihre Mail (...)“ 
den Eingang der E-Mail des Klägers: 

„Sehr geehrte Damen und Herren, 
vielen Dank für Ihre Nachricht. Wir 
bestätigen Ihnen hiermit den Eingang 
Ihres Mails. Sie erhalten baldmöglichst 
eine Antwort. Mit freundlichen Grüßen, 
Ihre S. Versicherung. 

Übrigens: Unwetterwarnungen per 
SMS kostenlos auf Ihr Handy. Ein ex- 
klusiver Service nur für S. Kunden. Infos 
und Anmeldung unter (...) 

Neu für iPhone Nutzer: Die App S. 
Haus & Wetter, inkl. Push Benachrich- 
tigungen für Unwetter und vielen weite- 
ren nützlichen Features rund um Wetter 
und Wohnen: (...) ***Diese E-Mail wird 
automatisch vom System generiert. Bitte 
antworten Sie nicht darauf. *** 

Der Kläger wandte sich daraufhin am 
11.12.2013 erneut per E-Mail an den 
Datenschutzbeauftragten der Beklagten 
und rügte, die automatisierte Antwort 
enthalte Werbung, mit der er nicht ein- 
verstanden sei. Auch auf diese E-Mail 
sowie auf eine weitere mit einer Sach- 
standsanfrage vom 19.12.2013 erhielt 
der Kläger eine automatisierte Emp- 
fangsbestätigung mit dem obigen Inhalt. 

Der Kläger verlangte von der Beklag- 
ten, es zu unterlassen, zum Zwecke der 


Werbung mit ihm, ohne sein Einver- 
ständnis per E-Mail Kontakt aufzuneh- 
men oder aufnehmen zu lassen. Das 
Amtsgericht (AG) Stuttgart-Bad Cann- 
statt hatte mit Urteil vom 25.04.2014 
einer entsprechenden Klage stattgegeben 
(10 C 225/14). Auf die Berufung der Be- 
klagten hat das Landgericht (LG) Stutt- 
gart das Urteil des AG am 04.02.2015 
aufgehoben und die Klage abgewiesen 
(4 S 165/14). Die zugelassene Revision 
führte zur Aufhebung des Berufungsur- 
teils des LG und zur Wiederherstellung 
des amtsgerichtlichen Urteils, weil die 
Übersendung der Bestätigungsmails mit 
Werbezusatz vom 19.12.2013 den Kläger 
in seinem allgemeinen Persönlichkeits- 
recht verletzt hat, nachdem er zuvor sich 
ausdrücklich gegen derartige Zusendun- 
gen zur Wehr gesetzt hatte. Der Senats- 
vorsitzende Gregor Galke erklärte, jeder 
habe das Recht, „im privaten Bereich in 
Ruhe gelassen zu werden“. Der BGH 
hatte schon 1988 geklärt, dass „Kleine- 
Werbung-Aufkleber“ auf dem Brief- 
kasten bei Reklamesendungen beachtet 
werden müssten. Diese Linie wurde bei 
Telefonwerbung ausgeweitet. Werbung 
ist hier nur nach erklärtem Einverständ- 
nis zulässig. Dies gilt nach dem Gesetz 
gegen unlauteren Wettbewerb auch für 
elektronische Post. Im aktuellen Fall hat 
der BGH offengelassen, ob bereits die 
erste E-Mail rechtswidrig war. Bei der 
zweiten und dritten Mail hatte der Klä- 
ger jedenfalls ausdrücklich seinen Wider- 
spruch erklärt. Das LG Stuttgart hatte die 
Belästigung zuvor als unerheblich einge- 
stuft, weil es sich nicht um „klassische“ 
Werbe-E-Mail gehandelt habe, sondern 
um einen Kontakt im laufenden Kunden- 
verhältnis. 

Praktisch oft schwer zu beantworten 
ist die Frage, wann eine Verbraucherln 
ihre Einwilligung erteilt hat. Online- 
Einkäufe u. Ä. sind oft mit der Aufforde- 
rung verbunden, elektronischer Reklame 
zuzustimmen. Heiko Dünkel vom Ver- 
braucherzentrale Bundesverband (vzbv) 
wies darauf hin, dass Verbraucherzent- 
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ralen Unternehmen wegen ungewollter 
E-Mail-Werbung abmahnen dürfen, wes- 
halb dort entsprechende Beschwerden 
eingereicht werden können (BGH, PE v. 
16.12.2015, Nr. 204/15, Bundesgerichts- 
hof zur Zulässigkeit sogenannter „No- 
Reply“ Bestätigungsmails mit Werbe- 
zusätzen; Janisch, Nerven verboten, SZ 
17.12.2015, 19). 


BGH 


Facebook-Freundefinder 
war unzulässig 


Der unter anderem für das Wettbe- 
werbsrecht zuständige 1. Zivilsenat des 
Bundesgerichtshofs (BGH) entschied 
mit Urteil vom 14.01.2016, dass die 
mithilfe der Facebook-Funktion „Freun- 
de finden“ versendeten Einladungs- 
E-Mails an Personen, die nicht als 
„Facebook“-Mitglieder registriert sind, 
eine wettbewerbsrechtlich unzulässige 
belästigende Werbung darstellen (I ZR 
65/14). Zudem stellte das Gericht fest, 
dass Facebook im Rahmen des im No- 
vember 2010 zur Verfügung gestellten 
Registrierungsvorgangs für die Funkti- 
on „Freunde finden“ die Nutzenden über 
Art und Umfang der Nutzung von im- 
portierten Kontaktdaten irregeführt hat. 

Geklagt hatte der Bundesverband der 
Verbraucherzentralen und Verbraucher- 
verbände in Deutschland (vzbv). Der 
vzbv wendete sich mit einem Unterlas- 
sungsanspruch dagegen, dass Facebook 
bei der von ihr bereit gestellten Funktion 
„Freunde finden“ die Nutzenden dazu 
veranlasste, ihre E-Mail-Adressdateien 
in den Datenbestand von Facebook zu 
importieren und Einladungs-E-Mails an 
bisher nicht als Nutzende der Plattform 
registrierte Personen zu senden. Dies sei 
eine die EmpfängerInnen belästigende 
Werbung im Sinne von $ 7 Abs. 1 und 2 
Nr. 3 des Gesetzes gegen unlauteren 
Wettbewerb (UWG). Der vzbv beklagte 
ferner, Facebook täusche die Nutzenden 
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im Rahmen des Registrierungsvorgangs 
in unzulässiger Weise darüber, in wel- 
chem Umfang die von den Nutzenden 
importierten E-Mail-Adressdateien von 
Facebook genutzt würden. Das Land- 
gericht hat der Klage stattgegeben. Die 
Berufung Facebooks war ohne Erfolg 
geblieben. 

Facebook-Anwalt Thomas von Pleh- 
we hatte bei der Verhandlung mit der 
altruistisch klingenden „Philosophie“ 
des Unternehmens argumentiert. Bei der 
Freunde-finden-Mail „handelt es sich 
um den Wunsch des Nutzers, sein Netz- 
werk aufzubauen.“ Verbraucher-Anwalt 
Peter Wassermann hatte erwidert: „Es 
geht maßgeblich darum, aus geschäftli- 
chen Interessen neue Mitglieder für das 
Netzwerk zu gewinnen.“ Der BGH wies 
die Revision von Facebook zurück und 
stellte fest, dass Einladungs-E-Mails 
von Facebook an Empfänger, die in den 
Erhalt der E-Mails nicht ausdrücklich 
eingewilligt haben, eine unzumutbare 
Belästigung im Sinne des $ 7 Abs. 2 Nr. 3 
UWG sind. Die Einladungs-E-Mails 
sind Facebook-Werbung, auch wenn 
ihre Versendung durch die registrierten 
Nutzenden ausgelöst wird, weil es sich 
um eine von der Beklagten zur Verfü- 
gung gestellte Funktion handelt, mit der 
Dritte auf das Angebot von Facebook 
aufmerksam gemacht werden sollen. 
Die Einladungs-E-Mails würden von 
den EmpfängerInnen nicht als private 
Mitteilung der Facebook-Nutzers, son- 
dern als Werbung der Beklagten ver- 
standen. 

Durch seine Angaben hatte Facebook 
im November 2010 bei der Registrie- 
rung für die Facebook-Funktion die sich 
registrierenden Nutzenden unter Verstoß 
gegen $ 5 UWG über Art und Umfang 
der Nutzung der E-Mail-Kontaktdaten 
getäuscht. Der im ersten Schritt des 
Registrierungsvorgangs eingeblende- 
te Hinweis „Sind deine Freunde schon 
bei Facebook?“ klärte nicht darüber auf, 
dass die vom Nutzer importierten E- 
Mail-Kontaktdaten ausgewertet werden 
und eine Versendung der Einladungs-E- 
Mails auch an Personen erfolgt, die noch 
nicht bei Facebook registriert sind. Die 
unter dem elektronischen Verweis „Dein 
Passwort wird von Facebook nicht ge- 
speichert‘ hinterlegten weitergehenden 
Informationen konnten die Irreführung 
nicht ausräumen, weil ihre Kenntnisnah- 
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me durch den Nutzenden nicht sicherge- 
stellt war. 

Facebook hat seine Bedingungen in- 
zwischen geändert, neu registrierte Nut- 
zende haben nun mehr Einfluss darauf, 
an wen Einladungen verschickt wer- 
den. Zwar dürften Einladungsmails an 
Nichtnutzende nach wie vor rechtlich 
äußerst problematisch sein, jedenfalls 
dann, wenn sie von Facebook vorformu- 
liert sind. Was aber beispielsweise für 
das Hochladen der Adressdateien von 
NeukundInnen gilt, werden wohl erst 
weitere Prozesse klären. Im Karlsruher 
Fall war die Verbraucherinformationen 
zur Nutzung der abgesaugten Adressen 
ziemlich undurchsichtig. Inzwischen ist 
sie nach Einschätzung des vzbv trans- 
parenter, aber immer noch nicht klar 
genug. 

Die juristische Auseinandersetzung 
um die sozialen Netzwerke stehen erst 
am Anfang. In einem derzeit beim Land- 
gericht Berlin anhängigen Verfahren 
spielt ebenfalls die kommerzielle Natur 
des Netzwerks eine Rolle. Die Verbrau- 
cherzentrale hat Facebook wegen der 
Werbeaussage „Facebook ist und bleibt 
kostenlos“ verklagt, weil die Verbrau- 
cherInnen für ihren Facebook-Account 
zwar nicht in Euro, aber mit ihren Daten 
bezahlten. In dem Prozess wird es zu- 
dem darum gehen, ob Voreinstellungen 
wie etwa der aktivierte Ortungsdienst 
auf einem Nutzeraccount zulässig sind. 
Außerdem geht es um eine Klausel, 
welche die Datenweitergabe an die USA 
zulässt. Bei Facebook&Co läuft also ein 
Dauerkonflikt ab: Die Verbraucherzen- 
tralen klagen, die Gerichte verurteilen, 
die Unternehmen bessern halbherzig 
nach. Woraufhin die Verbraucherzent- 
ralen wieder klagen... (Bundesgerichts- 
hof zur Facebook-Funktion „Freunde 
finden“, PE Nr. 7/2016 v. 14.01.2016; 
Janisch, Geschäft mit Freunden, SZ 
15.01.2016, 10). 


OVG Berlin 


Bundestag muss 
LobbyistInnen offenlegen 


Das Oberverwaltungsgericht (OVG) 
Berlin hat mit Beschluss vom 20.11.2015 
in einem vorläufigen Rechtsschutzver- 
fahren entschieden, dass der Deutsche 


Bundestag JournalistInnen Auskunft 
darüber geben muss, welche Lobbyist- 
Innen sich mit Hausausweis im Parla- 
ment bewegen (Az. OVG 6 S 45.15), 
und bestätigte damit eine Entscheidung 
der Vorinstanz. 

Der Bundestag erteilt Hausausweise, 
die zum Zugang des Parlamentes be- 
rechtigen, an InteressenvertreterInnen. 
Ein Teil der Verbände ist in eine offen 
einsehbare Liste eingetragen. Doch er- 
halten auch nicht registrierte Lobbyist- 
Innen den Ausweis, wenn sie mit einem 
vom Parlamentarischen Geschäftsfüh- 
rer einer Fraktion gezeichneten Antrag 
nachweisen, dass sie die Bundestagsge- 
bäude im Interesse des Parlaments häu- 
fig aufsuchen müssen. Die Zeitung Ta- 
gesspiegel hatte dem Bundestag hierzu 
die Frage gestellt, an welche Verbände, 
Organisationen und Unternehmen in der 
laufenden Legislaturperiode auf Grund 
der Befürwortung von Fraktionen Haus- 
ausweise erteilt worden sind, um wie 
viele es sich handelt und welche Frak- 
tion dies jeweils befürwortet hat. Linke, 
Grüne und SPD-Fraktion haben ihre 
Lobby-Liste freiwillig offengelegt, die 
CDU/CSU-Fraktion nicht. Nach einer 
Weigerung auch des Parlaments hatte 
die Zeitung den Eilantrag gestellt. 

Das OVG begründete seinen Be- 
schluss damit, dass der Auskunftsan- 
spruch Interessen des freien Bundes- 
tagsmandates nicht entgegen stehe. Die 
in Art. 38 Abs. 1 GG geschützte Freiheit 
des Mandats erfasse zwar auch das In- 
formationsbeschaffungsverhalten der 
Bundestagsabgeordneten als Teil des 
parlamentarischen Willensbildungs- 
prozesses. Die begehrten Auskünfte 
ließen aber keine Rückschlüsse darauf 
zu, ob bzw. wie häufig einzelne Abge- 
ordnete mit InteressenvertreterInnen, 
die InhaberInnen von Hausausweisen 
sind, zu Gesprächen in den Räumen des 
Bundestages zusammenkommen. Dies 
gelte auch für die Parlamentarischen 
Geschäftsführer, die lediglich stellver- 
tretend für ihre Fraktion die Anträge auf 
Erteilung von Hausausweisen befürwor- 
ten. Daher sei nicht ersichtlich, dass die 
Auskunftserteilung das Kommunika- 
tionsverhalten einzelner Abgeordneter 
beeinträchtigen könnte. Eine Verletzung 
des Rechts auf informationelle Selbst- 
bestimmung der InteressenvertreterIn- 
nen verneinte der Senat ebenfalls. Der 


39 


Beschluss des OVG ist unanfechtbar 
(Bundestag muss Lobbyisten-Liste of- 
fenlegen, www.lto.de 20.11.2015). 


OLG München 


Schumachers Privat- 
sphäre geht vor 


Das Oberlandesgericht (OLG) Mün- 
chen wies mit Urteil vom 19.01.2016 
eine Berufung von Medienunternehmen 
gegen entsprechende Urteile weitest- 
gehend zurück, die Unterlassungskla- 
gen gegen vier Zeitschriften stattgege- 
ben hatten, die eine Pressemitteilung 
von Michael Schumachers Sprecherin 
zu dessen Gesundheitszustand aus- 
schmückten. Die Medien seien zu weit 
in die Privatsphäre des ehemaligen For- 
mel-1-Weltmeisters eingedrungen. Eine 
Revision gegen die in vier Einzelfällen 
gesprochenen Urteile schloss der Senat 
aus. Das OLG stellte in der Verhandlung 
klar, dass ein Berichterstattungsinteres- 
se über den Gesundheitszustand einer 
der berühmtesten Personen Deutsch- 
lands durchaus bestehe. Andererseits 
habe auch eine Person des öffentlichen 
Lebens ein Recht auf Privatsphäre. Der 
ehemalige Formel-1-Weltmeister war 
am 29.12.2013 beim Skifahren schwer 
verunglückt. Der mittlerweile 47-Jäh- 
rige hatte sich bei seinem Sturz ein 
schweres Schädel-Hirn-Trauma zuge- 
zogen und tagelang um sein Leben ge- 
kämpft (OLG: Medien drangen zu stark 
in Schumachers Privatsphäre ein, www. 
focus.de 20.01.2016). 


VG Neustadt 


Keine Bearbeitungsfristen 
bei Datenschutzeingaben 


Das Verwaltungsgericht (VG) Neu- 
stadt hat mit Beschluss vom 22.12.2015 
entschieden, dass der Landesbeauftragte 
für den Datenschutz und die Informati- 
onsfreiheit in Baden-Württemberg (LDI 
BW) im Rahmen seiner Beratungs- und 
Informationstätigkeit gegenüber den 
Bürgerinnen und Bürgern in Fragen des 
Datenschutzes und der Datensicherheit 
nicht an gesetzliche Fristen gebunden 
ist. Es komme auf die konkreten Um- 
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stände des Einzelfalles an, innerhalb 
welcher Frist der LDI einen Petenten zu 
bescheiden hat. 

Der Beschluss erging im Rahmen ei- 
nes Prozesshilfeverfahrens. Der Kläger 
und Antragsteller hatte am 07.10.2014 
eine datenschutzrechtliche Überprüfung 
der Kreissparkasse Südwestpfalz gefor- 
dert, weil die Diskretion bei Kundenge- 
sprächen nicht beachtet werde, Mitar- 
beitende von Umstand des Bezugs von 
Arbeitslosengeld in Kenntnis seien und 
Kontoauszüge nicht datenschutzgerecht 
versendet würden. Der LDI BW antwor- 
tete dem Kläger erstmals am 16.10.2014 
überschlägig. Am 09.03.2015 berich- 
tete der LDI BW nach Auswertung 
des Antwortschreibens der Sparkasse. 
Am 19.06. forderte der Kläger einen 
schriftlichen Bescheid und die Benen- 
nung einer übergeordneten Beschwer- 
destelle. Eine abschließende Bewertung 
wurde am 13.08. verfasst, aber erst am 
11.09.2015 versandt. Bereits zuvor, am 
04.09.2015 erhob der Petent Untätig- 
keitsklage. Der Prozesshilfeantrag wur- 
de abgelehnt, weil die Klage keine Aus- 
sicht auf Erfolg habe. 

„In der Rechtsprechung ist geklärt, 
dass auf Petitionen und Dienstaufsichts- 
beschwerden ergehende Bescheide 
keine Verwaltungsakte sind. ... Ein Pe- 
titionsbescheid regelt nichts mit unmit- 
telbarer rechtlicher Außenwirkung, son- 
dern stellt nur die tatsächliche Erfüllung 
der Verpflichtung aus Art 17 Grundge- 
setz - GG - bzw. Art. 11 LV (Landes- 
verfassung Baden-Württemberg) dar. ... 
Art. 11 LV gewährt aber kein Recht auf 
Erledigung der Petition im Sinne des Pe- 
tenten und auch keinen Anspruch darauf, 
Art und Umfang der sachlichen Prüfung 
der Petition einer gerichtlichen Kon- 
trolle zu unterziehen. ... Auch Art. 19 
Abs. 4 Satz 1 GG gebietet nicht die Zu- 
lassung von Anfechtungsklagen gegen 
ablehnende Petitionsbescheide oder 
Verpflichtungsklagen auf Erlass von po- 
sitiven Petitionsbescheiden.“ Deshalb 
sei die Untätigkeitsklage nicht statthaft. 

Auch als Leistungsklage habe das An- 
liegen des Klägers keine Aussicht auf 
Erfolg: „Der Kläger hat zwar einen mit 
der allgemeinen Leistungsklage durch- 
setzbaren Anspruch auf Erteilung eines 
informatorischen Bescheides über die 
Art und Weise der Erledigung seiner Pe- 
tition. ... Wie oben bereits ausgeführt, 


gewährt Art. 11 LV aber kein Recht auf 
Erledigung der Petition im Sinne des 
Petenten und auch keinen Anspruch 
darauf, Art und Umfang der sachlichen 
Prüfung der Petition einer gerichtlichen 
Kontrolle zu unterziehen. Denn dann 
erhielte das Petitionsrecht die Funktion 
einer Popularklage. Der Beklagte hat 
im Übrigen den Anspruch des Klägers 
auf Entgegennahme seiner Petition, auf 
sachliche Befassung mit seiner Eingabe 
und auf Bescheidung der Eingabe, aus 
der ersichtlich wird, dass und mit wel- 
chem Ergebnis sie behandelt wurde, 
spätestens mit am 11. September 2015 
übersandten Schreiben erfüllt. ... 

Der LDI ist im Rahmen seiner Bera- 
tungs- und Informationstätigkeit gegen- 
über den Bürgerinnen und Bürgern in 
Fragen des Datenschutzes und der Da- 
tensicherheit nicht an gesetzliche Fris- 
ten gebunden. Es kommt daher auf die 
konkreten Umstände des Einzelfalles an, 
innerhalb welcher Frist der LDI einen 
Petenten zu bescheiden hat. ... Ausge- 
hend von diesem Sachverhalt kann nach 
Auffassung der Kammer keine Rede 
davon sein, dass der LDI den Kläger 
nicht zeitnah beschieden hat. ... Selbst 
wenn man sich für die Beantwortung 
der Frage, innerhalb welchen Zeitraums 
ein Petent mit der Bescheidung seiner 
Eingabe durch den LDI rechnen darf, an 
der Dreimonatsfrist des $ 75 VwGO ori- 
entieren würde, lagen hier zureichende 
Gründe im Sinne des $ 75 VwGO ... vor, 
das Begehren des Klägers abschließend 
nicht vorher zu bescheiden“ (Landes- 
datenschutzbehörde muss Bürgeranfra- 
gen nicht innerhalb bestimmter Fristen 
bearbeiten, www.datenschutz.eu Januar 
2016). 


LG Berlin 


Eltern erhalten Zugang 
zu Facebook-Konto von 
verstorbener Tochter 


Gemäß einem Urteil des Landgerichts 
(LG) Berlin vom 17.12.2015 haben EI- 
tern einer minderjährig Verstorbenen 
Anspruch gegen den Betreiber eines 
sozialen Netzwerks auf Herausgabe der 
Zugangsdaten zu dem Benutzerkonto 
ihrer Tochter (20 © 172/15). Die Tochter 
der Klägerin war mit 15 Jahren unter un- 
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geklärten Umständen durch eine in einen 
Bahnhof einlaufende U-Bahn tödlich ver- 
letzt worden. Die Klägerin erhoffte, über 
den Facebook-Account ihrer Tochter und 
die dort ausgetauschten Nachrichten und 
Posts mehr über den Tod ihrer Tochter zu 
erfahren und zu klären, ob es sich um ei- 
nen Selbstmord gehandelt haben könnte. 
Dies war auch deshalb von Bedeutung, 
da der Fahrer der U-Bahn, die die Ver- 
storbene erfasst hatte, gegen die Erben 
ein Schmerzensgeld und Schadenersatz 
wegen Verdienstausfalls geltend machte. 
Facebook Ireland Limited (im Folgen- 
den: Facebook) verweigerte der Klägerin 
die Zugangsdaten zu dem in einen Ge- 
denkzustand versetzten Account, so dass 
diese Klage erhob. 

Das der Klage stattgebende LG ver- 
pflichtete Facebook, den Eltern der Ver- 
storbenen als deren Erben Zugang zu 
dem Benutzerkonto und dessen Kommu- 
nikationsinhalten zu gewähren. Der Ver- 
trag zur Nutzung der Facebook-Dienste, 
den die Tochter abgeschlossen hatte, sei 
wie jeder andere schuldrechtliche Ver- 
trag auf die Erben übergegangen. Eine 
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Kühling, Jürgen/Seidel, Christian/ 
Sivridis, Anastasios 

Datenschutzrecht, 3. Aufl. 2015, 314 S. 
ISBN 978-3-8114-9486-2 


(tw) Als explizite Ausbildungslite- 


ratur für JuristInnen im Bereich des 
Datenschutzrechts hat sich das Buch, 
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unterschiedliche Behandlung des digita- 
len und des „analogen“ Vermögens des 
Erblassers sei nicht gerechtfertigt. Eine 
Ungleichbehandlung würde dazu führen, 
dass persönliche Briefe und Tagebücher 
unabhängig von ihrem Inhalt vererblich 
wären, E-Mails oder private Facebook- 
Nachrichten hingegen nicht. 

Dem stünden keine schutzwürdi- 
ge Interessen von Facebook entgegen. 
Der Nutzungsvertrag werde regelmäßig 
ohne nähere Prüfung des Nutzers abge- 
schlossen. Die Identität kontrolliere Fa- 
cebook nur in Ausnahmefällen. Ebenso 
stehe das postmortale Persönlichkeits- 
recht der Verstorbenen einer Zugangs- 
gewährung nicht entgegen. Denn die 
Erziehungsberechtigten seien für den 
Schutz des Persönlichkeitsrechtes ihrer 
minderjährigen Kinder zuständig. Dies 
gelte nicht nur zu deren Lebzeiten. Je- 
denfalls dann, wenn besondere Umstän- 
de wie hier die ungeklärte Todesursache 
der Tochter vorlägen, seien die Eltern 
als Erben berechtigt, sich Kenntnis dar- 
über zu verschaffen, was ihre Tochter im 
Internet geäußert hat. 


das in erster Auflage 2008 erschien, 
etabliert. Es führt in die grundlegen- 
den rechtlichen Fragestellungen des 
Datenschutzes in allgemein verständli- 
cher Form ein. Anhand von 15 Fällen 
mit jeweiligen Lösungsskizzen wird 
die für Studierende wichtige Methode 
der stringenten Abarbeitung der rele- 
vanten Fragestellungen eingeübt. Die 
dabei verwendeten Fälle sind aktuell 
von Gerichten entschiedene Verfahren. 
Die Autoren folgen bei ihren Lösungen 
regelmäßig der gerichtlichen Entschei- 
dung, weisen bei Abwägungsentschei- 
dungen aber darauf hin, dass auch an- 
ders hätte entschieden werden können. 

Die Darstellung ist insofern inter- 
essant, als sie nicht, wie üblich, mit 
dem Volkszählungsurteil und dem 
deutschen Bundesdatenschutzgesetz 
beginnt, sondern zunächst europarecht- 
lich (Europarat, Unionsrecht) einsteigt, 


Die Gedenkzustands-Richtlinie, wie 
sie Facebook vor 2014 verwandt hat- 
te, sei unwirksam. Es stelle eine unan- 
gemessene Benachteiligung der Nut- 
zenden bzw. deren Erben dar, wenn 
eine beliebige Person der Facebook- 
Freundesliste veranlassen könnte, dass 
das Profil des Nutzers in den Gedenk- 
zustand versetzt wird, und wenn dies 
auch von den Erben nicht rückgängig 
gemacht werden kann. Auch das Da- 
tenschutzrecht stehe dem Anspruch auf 
Zugangsgewährung nicht entgegen. 
Vertrauliche Briefe, die ein Dritter ver- 
schickt habe, könnten nach dem Tod 
des Empfängers von den Erben gelesen 
werden, ohne dass ein Eingriff in die 
Rechte dieser Dritten vorliege. Nichts 
Anderes gelte für digitale Daten. Fa- 
cebook hat Berufung gegen das Urteil 
eingelegt (Landgericht Berlin: Eltern 
einer minderjährig Verstorbenen erben 
Facebook-Account ihrer Tochter, http:// 
www.kostenlose-urteile.de 07.01.2016; 
Eltern erben Account, Facebook wehrt 
sich, SZ 02.02.2016, 10). 
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um dann aber ausführlich wichtige Fra- 
gestellungen des nationalen privaten 
wie öffentlichen Datenschutzrechts zu 
behandeln. Die aktuellen Fragen des 
Datenschutzes, bei denen das Internet 
und die internationale Datenverarbei- 
tung eine wichtige Rolle spielen, ste- 
hen im Vordergrund. Nicht besonders 
vertieft werden — abgesehen vom Tele- 
kommunikations- und Telemedienrecht 
— bereichsspezifische Fragen. Im Fokus 
stehen auch nicht technische Fragestel- 
lungen, doch knüpft die Darstellung an 
der technischen Realität korrekt an. Re- 
daktionsschluss war September 2015, 
Entwicklungen bis dahin sind berück- 
sichtigt. 

Das Buch ist übersichtlich geglie- 
dert. Quellen zum Vertiefen werden 
nachvollziehbar wiedergegeben. Eine 
umfangreiche Gliederung und ein 
Stichwortverzeichnis erschließen auch 
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zielgerichtete Einzelausführungen. 
Das Lehrbuch ist also für JuristInnen, 
die einen Einstieg in das nicht gerade 
übersichtliche und einfache Daten- 
schutzrecht suchen, sehr zu empfeh- 
len. 


Joachim 


Vernetzte Gesellschaft. 
Vernetzte Bedrohungen 


Wie uns die künstliche 
Inseiligenz neranssorsert 
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Jacobs, Joachim 

Vernetzte Gesellschaft. Vernetzte 
Bedrohungen 

Berlin 2015, ISBN 978-3-945219-16-4, 
3508. 


(tw) Der Umfang von Literatur zu 
Gefahren der Digitalisierung nimmt 
weiter zu. Dabei werden die unter- 
schiedlichsten Schwerpunkte gesetzt. 
Das Taschenbuch von Joachim Ja- 
cobs erweitert das Spektrum um eine 
sehr journalistische Version: In seiner 
fulminanten, sehr assoziativen Zu- 
sammenstellung werden knapp 1.000 
Pressemeldungen zur Digitalisierung 
verarbeitet und aneinandergereiht. Da- 
bei wird vieles erwähnt, was mit Daten- 
schutz, Datensicherheit, Big Data, In- 
formationstechnikeinsatz hier und dort 

. zu tun hat, von der elektronischen 
Gesundheitskarte bis zu den Geschäfts- 
modellen im Internet oder im Gesund- 
heitsbereich, vom E-Government bis 
zum Hacking, von Geheimdienstsabo- 
tage bis zur digitalen Freizeitgestal- 
tung, von der Biometrie bis zum RFID, 
von Deutschland über die USA und die 
Welt wieder zurück nach Deutschland. 
Dabei werden die heute bestehenden 
technischen Möglichkeiten präsentiert, 
von der Datenpanne in der Sparkasse 
bis hin zum Einsatz sog. Künstlicher 
Intelligenz durch fremde Dienste, die 
daraus resultierenden Begehrlichkei- 
ten, die Unfähigkeit damit sicher und 
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verantwortungsvoll umzugehen auf der 
einen Seite und die Fähigkeit vieler An- 
greifer, diese Unfähigkeit zu nutzen. 

Der Autor präsentiert Fakten, Fakten, 
Fakten, soweit diese sich aus journalis- 
tisch aufbereiteten Beiträgen oder eige- 
nen Recherchen ergeben. Da aber die 
Breite des Stoffes zu groß ist, um alles 
in der Tiefe zu ergründen, präsentiert 
der Autor Zitate, Zitate, Zitate von — 
zweifellos durch die Bank — ausgewie- 
senen ExpertInnen auf ihrem jeweili- 
gen Gebiet. Bei der Lektüre beschleicht 
einen immer mehr ein Unwohlsein bei 
allem, was mit Digitalem zu tun hat: Al- 
les ist unsicher, gefährlich, zumindest 
problematisch, schwarz-weiß gezeich- 
net, aber fast ausschließlich schwarz. 
Insofern erfüllt das Buch eine Funkti- 
on: Verunsichern, evtl. auch aufrütteln. 
Es ermutigt zum Misstrauen. 

Was das Buch nicht bietet und offen- 
sichtlich auch gar nicht bieten will, ist 
eine vertiefte Analyse, sei sie nun tech- 
nisch, philosophisch, sozial, politisch, 
ökonomisch; abwägende Bewertungen 
und graduelle Einstufungen sind selten 
zu finden. Das Bewerten überlässt der 
Autor der geneigten Leserln, die damit 
oft überfordert sein wird, auch weil die 
vielen erzählten Geschichten nur ange- 
rissen und nicht mit den Hintergründen 
erzählt werden können. Man könnte 
dem Buch deshalb Alarmismus vor- 
werfen, doch das würde voraussetzen, 
dass Bedrohungen für konkret benann- 
te Werte dargestellt würden. Doch auch 
insofern lässt einen das Buch allein, so 
dass die erzählten Geschichten zwangs- 
läufig an den eigenen unhinterfragten 
Werten gemessen werden. Vielleicht 
hat der Autor das gewollt; explizit ge- 
macht hat er diese Intention jedoch 
nicht. 

Das macht neugierig auf das letzte 
Kapitel, das mit „Schutzmöglichkei- 
ten“ überschrieben ist. Wer jedoch nun 
vermutet hätte, dass der Adressat des 
Buches die einzelne BürgerIn wäre, der 
wird enttäuscht. Angesprochen werden 
eher Unternehmens-, Behörden- und 
IT-Verantwortliche, denen sehr allge- 
mein gehaltene Tipps für ein besseres 
Datenmanagement gegeben wird. Ob 
diese sich nach all der vorangegange- 
nen Verunsicherung dadurch wieder 
aufbauen lassen, muss Spekulation 
bleiben. 


Arndt/Fetzer/Scherer/Graulich, 
Telekommunikationsgesetz, 
Kommentar, 

2. Aufl. 2015, Erich Schmidt Verlag, 
Berlin, 2640 S., 284,00 EUR 


(sh) Er kommt schon gewaltig daher, 
der „Berliner Kommentar“ zum TKG, 
und bringt sich in Stellung gegen den 
Beck’schen TKG-Kommentar, welcher 
bei ähnlichem Format und Preis auf dem 
Gesetzesstand von 2012 verfügbar ist. 
Der auf dem Stand von Mai 2015 ein- 
schließlich des IT-Sicherheitsgesetzes 
beruhende Kommentar stammt auch 
in der 2. Auflage im Wesentlichen aus 
der Feder von auf Regulierungsfragen 
spezialisierten Wissenschaftlern, An- 
gehörigen der Aufsichtsbehörden und 
Anwälten einer großen Frankfurter 
Rechtsanwaltskanzlei mit Schwerpunkt 
Wirtschaftsberatung. Als Vollkommen- 
tierung zum TKG ist das Werk von vorn 
herein mehr als eine Nummer zu groß 
für alle, die sich im Wesentlichen auf 
Datenschutzperspektive mit dem Tele- 
kommunikationsgesetz befassen und an 
der gebotenen ausführlichen Orientie- 
rung zu Regulierungs- und Ordnungs- 
fragen keinen Bedarf haben. Aber wie 
steht es um die Beiträge zu den immer 
wieder datenschutz- und bürgerrecht- 
lich entscheidenden Vorschriften im 
Telekommunikationsgesetz? Der dem 
Datenschutz gewidmete Abschnitt 
(88 91 - 107 TKG) wird anschaulich, 
klar strukturiert und mit Blick auf die 
gemeinschaftsrechtlichen Grundlagen 
behandelt, ohne dass die Kommentie- 
rung leidenschaftlich ausfällt oder für 
die Verbraucher bedeutende Rechtspro- 
bleme zu lösen hätte. Das Schattendasein 
der Vorschriften zeigt sich auch daran, 
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dass der Kommentator so gut wie gar- 
nicht auf Rechtsprechung ein zu gehen 
hatte. Weniger zügig und knapp hinge- 
gen fällt das Werk an den Schnittstel- 
len zu den öffentlichen Bedarfsträgern 
($ 108 ff.) und zum grundrechtlichen 
Fernmeldegeheimnis ($ 88 ff.) aus. Dazu 
äußert sich ein Kommentator, dessen 
Personalie aufhorchen lässt: Auch in 
der 2. Auflage ist der frühere Richter am 
Bundesverwaltungsgericht Kurt Grau- 
lich dabei, den die Öffentlichkeit zuletzt 
als Sondergutachter zu bestimmten As- 
pekten der Beteiligung deutscher Stellen 
an der Überwachungstätigkeit der NSA 
kennengelernt hatte. Der Autor nutzt den 
ihm eingeräumten Platz, um gerade auch 
umstrittene Vorschriften wie $ 113 TKG 
zu durchdringen und verfassungsrecht- 
lich zu beleuchten. Seine Kommentie- 
rung fällt dabei gründlich, entlang der 
Verfassungsrechtsprechung, aber auch 
mit klarer Orientierung an den Zielen des 
Gesetzgebers aus. Der Verzicht auf eine 
obligate Kundendatenerhebung bei E- 
Mail-Accounts ($ 113 Abs. 1 S. 3 TKG) 
entlockt dem Autor nur wenige, distan- 
zierte Zeilen. Wie hält es der Kommentar 
daher mit dem Schutz des Fernmeldege- 
heimnisses bei der erlaubten Nutzung 
betrieblicher E-Mail-Konten durch Ar- 
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beitnehmer? Auch bei dieser praktisch 
bedeutenden Frage wird das Werk lei- 
der wortkarg: Mit Bezugnahme auf eine 
Entscheidung des Landesarbeitsgerichts 
Berlin-Brandenburg (v. 16.02.2011 — 4 
Sa 2132/10) belässt es der Autor bei der 
Wiedergabe der These, dass ein Arbeitge- 
ber nicht Dienstanbieter 1.S. $ 88 Abs. 2 
TKG sei. Auf eine ganze arbeitsrechtli- 
che Bibliothek, die anderer Auffassung 
ist, nimmt der Autor keine Rücksicht. 
An dieser Stelle hätte der Leser aus der 
Datenschutzpraxis mehr erwartet, zu- 
mal die Anwendbarkeit des Fernmelde- 
geheimnisses auf die private Nutzung 
dienstlicher E-Mail-Anschlüsse unter 
Arbeitsrechtlern weiterhin herrschende 
Meinung sein dürfte. Kleines Trostpflas- 
ter: Der Kommentator der allgemeinen 
Begriffsbestimmungen (hier: $ 3 Nr. 6 
TKG) hält es — ebenso knapp begrün- 
det - entgegen seinem Kollegen mit der 
herrschenden Meinung. 

Kaufen wird das Werk wohl, wer sich 
auf hohem Niveau über das ganze Tele- 
kommunikationsgesetz orientieren muß. 
Verbraucher- und Datenschützer sollten 
vor allem dann zu diesem Kommentar 
greifen, wenn sie die Position ihrer Ge- 
genüber aus Behörden und Unterneh- 
men verstehen wollen. 
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